‘Samsung’s Tizen bevat tientallen beveiligingsproblemen’
Tizen, het besturingsysteem waarop onder andere smartwatches en smart tv’s van Samsung draaien, bevat een groot aantal beveiligingsproblemen. In totaal gaat het om veertig verschillende kwetsbaarheden.
De problemen zijn ontdekt door beveiligingsonderzoeker Amihai Neiderman. Neiderman, werkzaam bij het Israëlische Equus Software, uit tegenover Motherboard felle kritiek op Samsung en noemt Tizen misschien wel de slechtste code die hij ooit heeft gezien. “Alles wat je fout kunt doen, doen zij (red: Samsung) ook. Je kunt zien dat niemand met enig verstand van security naar deze code heeft gekeken of deze heeft geschreven. Dit is vergelijkbaar met het laten programmeren van je software door een student”, aldus Neiderman.
Code op afstand uitvoeren
Alle kwetsbaarheden kunnen volgens de onderzoeker worden misbruikt om op afstand code uit te voeren op Samsung apparaten die op Tizen draaien. Daarnaast is het mogelijk de apparaten op afstand over te nemen. Daarnaast merkt Neiderman op dat veel beveiligingsproblemen fouten zijn die ontwikkelaars twintig jaar geleden maakte.
Een kwetsbaarheid baart Neiderman de meeste zorgen. Het gaat om een beveiligingsprobleem in de TizenStore app, Samsung’s versie van Google Play Store. Door een kwetsbaarheid in de TizenStore app is Neiderman erin geslaagd via de appwinkel malafide code op zijn Samsung TV te krijgen. “Je kunt een Tizen systeem met iedere malafide code updaten die je maar wilt”, aldus de onderzoeker.
Authentificatiefunctie omzeilen
Overigens hanteert de TizenStore wel een authentificatiefunctie die zeker moet stellen dat uitsluitend geautoriseerde Samsung software op het apparaat kan worden geïnstalleerd. Neiderman heeft echter een kwetsbaarheid gevonden waarmee het mogelijk is deze beveiligingsfeature te omzeilen.