Samsung setzt groß auf das Thema IoT und mit Samsung Knox bietet man für Smartphones auch gleichzeitig eine durchaus prominent angepriesene Sicherheitslösung an. Bei IoT wird jedoch seit Jahren davor gewarnt, dass das „Internet of Things“ gleichzeitig auch massive Sicherheitsrisiken birgt und eben diese scheinen sich bei Samsung nun klar zu zeigen.
Tizen, das Open-Source-Betriebssystem, welches von verschiedenen Unternehmen wie etwa Huawei, Panasonic und Intel entwickelt wurde, wird besonders von dem federführend an der Entwicklung beteiligten Unternehmen Samsung für IoT eingesetzt. SmartTVs, Smartwatches und inzwischen sogar Kühlschränke von Samsung setzen auf Tizen als Betriebssystem. Das Problem: Tizen ist offenbar löchriger als ein Schweizer Käse.Der IT-Sicherheitsexperte Amihai Neiderman aus Israel zieht gegenüber Vice Motherboard ein vernichtendes Urteil über das Betriebssystem.
„It may be the worst code I’ve ever seen.“
Als vielleicht schlechtesten Code, den er jemals gesehen hat beschreibt Neiderman Tizen, über 40 von ihm entdeckte Zero-day-Lücken lassen ihn zu diesem Fazit kommen, welches er im Rahmen einer Sicherheitskonferenz des Antiviren-Herstellers Kasperspy veröffentlichen wird.
„Everything you can do wrong there, they do it. You can see that nobody with any understanding of security looked at this code or wrote it. It’s like taking an undergraduate and letting him program your software.“
Samsung habe „alles falsch gemacht, was man falsch machen konnte“. Es sei ersichtlich, dass niemand mit Ahnung von Sicherheit an dem Code beteiligt war. Aufgrund einer Sicherheitslücke im Tizen-Store war es ihm zudem in der Theorie möglich, jeden Tizen-betriebenen SmartTV den es gibt zu knacken.
„You can update a Tizen system with any malicious code you want.“
Ein Teil der Tizen-Software ist Neiderman zur Folge veraltet und sogar von Samsungs früherem Bada-OS abgekupfert. Im Vorfeld hatte Neiderman Samsung kontaktiert und nur eine standardisierte Email als Antwort erhalten, nach der Veröffentlichung von Motherboard beteuert Samsung nun, dass man mit Neiderman zusammenarbeiten wolle, um Lücken zu schließen.
„We are fully committed to cooperating with Mr. Neiderman to mitigate any potential vulnerabilities. Through our SmartTV Bug Bounty program, Samsung is committed to working with security experts around the world to mitigate any security risks.“
Bei einem Betriebssystem, welches von vielen als Plan B für Googles Android bei zukünftigen Smartphones gesehen wird und welches bereits in etwa Indien auf Smartphones zu finden ist, sollten solch massive Lücken nicht zu finden sein.
Lesenswerte Quelle: Motherboard (vielen Dank für die vielen Einsendungen, ich hatte leider zu wenig Zeit)
Ich würde mir wünschen das Samsung unabhängig wird und den Android Markt verlassen würde.
Das alle Samsung Geräte schon mal ein „eigenes“ Betriebssystem bekommen, deutet schon mal darauf hin das wir (die Smartphone Nutzer) nicht verschont bleiben.
Das ist gut so, da das Betriebssystem in Indien auch gut ankommt, mach sämtlichen Online-Technick Artikeln.
Ich bin mir sicher das Samsung das mit der Sicherheit hinbekommt und wir uns freuen können über ein Gerät das nicht von Google abhängig ist.
LG, Alexander
Ich habe eine ganz andere Vermutung. Ähnlich wie es sich beim Note 7, eine kombination aus Chefs wünsche und Ingenieures unmacht handelt. Die Koreaner sind eben keine European Typen. Das unterschätzen wir glaube ich.
Denn wenn Chef sagt dass das OS hübsch aussehen soll und alles andere Zweitrangig scheint, kommt sowas dabei raus.
Chef hat bei Samsung und Co immer Recht. Die Entwicklung und Programmierer kennen die Problematik. Können diese jedoch nicht ansprechen, da Sie sonst gehen können.
Da geht es um die Ehre Hirachie, die dort VIEL EXTREMER IST.
Wäre Google nicht ständig in Verhandlungen mit Samsung, wäre das für Samsungs Smartphone Branche der Ruhin.
Ich sagte schon von Anfang an das des ein Reinfall wie bei Bada wird
Samsung. Kann. Keine. Software.
Samsung ist hauptsächlich eine Hardware Firma, die einige gute Software Ideen hat, aber denke sie könnten noch ein paar mehr Sicherheitsleute einstellen.
Es reicht eben nicht, nur ein paar Spezialisten einzustellen. Alle Entwickler müssen grundlegendes Verständnis von Software-Sicherheit und -Qualität besitzen und dies auch anwenden. Offenbar legt Samsung zu viel wert auf die Quantität der vermarktbaren Features.
Darum habe ich mir einen (Sony) Fernseher mit Android TV gekauft. Ob es sicher ist – man weiß es nicht, aber schlechter als Tizen sicher nicht. Ausserdem kann man dort ohne Probleme (fast) alle Android Anwendungen installieren (Sky go über Umwege, Kodi, Magine, Waipu, Plex………..). Für mich hat Tizen keine Daseinsberechtigung
Von Android gibt es Billionen von Geräten, da lohnt es sich für Hacker einige Zeit zu investieren, Tizen Produkte gibt es eher überschaubar, glaube kaum dass da viele Hacker momentan unterwegs sind.
Es reizt auch nicht, wenn es zu leicht ist… ?
Für mich hat Sony keine Daseinsberechtigung.. Ausser bei Fotokameras (DSRL oder wie die heissen)
w00t? Warum? Sony baut stabile Hardware und vertraut beim OS auf Android. Was hätte für dich denn eine Daseinsberechtigung?
Wo bleibt Sonys Innovation? Ist das heute noch eine „in“- Marke?
Alles was die machen, ist längst Schnee von gestern.
TV nichts gescheites, das Android Tv zeug is sowas von umsonst.
Handys… Können sie Apple, Huawei oder Samsung nicht ansatzweise das Wasser reichen.
Sind zwar Breit aufgestellt, aber nix können die richtig hervorragend – ausser Spiegelreflex Kameras.
An sich korrekt. Aber was will ich mit Innovationen, wenn dann das Gesamtprodukt schlecht und nur halb fertig ist? Wie gesagt: Sicherheitslücken bei Tizen in TVs, langsame Fernseher (Philips), instabile TV-Experience durch „coole neue Features“? Nee danke. Bei einem TV-Gerät zB hab ich lieber ein Gerät welches zuverlässig ist und anständig funktioniert. Welche Innovationen haben sich denn da durchgesetzt? Sprachsteuerung? Lief scheisse, hat gefühlt keiner mehr. In anderen Bereichen (zB Smartphones) magst du recht haben.
Nenne mir ein Konsumgut das heutzutage auf den Markt kommt und „fertig“ ist. (Ausser vielleicht ein Kaugummi ;oD )
Oder besser gesagt, ein Luxusgut – nichts andres sind Handys und TV z.B.
Überall wird nachgebessert – also von fertig kann NIE die Rede sein.
Touché
Dann hat es ja doch mehr mit Android gemein, als man zuerst annehmen würde. SCNR
Schon peinlich…Ich hätte gedacht die haben so viel Geld im Nacken, das die sich qualifiziertes Personal leisten können. Für den Weltmarktführer mehr als peinlich.
Wieviel Geld und Jahre zum Entwickeln haben die anderen? Und sind die sicher? Nö.
Das zeigt doch nur, wie unglaublich komplex so ein OS ist.
Klar ist sowas Ultra Komplex. Aber wenn er schreibt, es ist als hätten Studenten diesen Code geschrieben dann wird es wiklich nicht das Gelbe vom Ei sein und es wird nicht wirklich besser werden 😉
Jerks heißen die im Fachjargon. Denke, der Code kommt vielleicht aus Indien oder Vietnam, von eher gering bezahlten Codern, die, wenn sie was gelernt haben, gleich mehr Geld fordern und den Job wechseln. Ist schon schwierig, da Qualität aufzubauen.
Denkst du? Ich hätte gedacht, da das Projekt Tizen nicht gerade unwichtig für Samsung ist, werden die das in Korea von Erfahrenen Programmierern entwickeln lassen. Das soll doch in Zukunft Samsungs Ökosystem werden, weil die sich von Google trennen wollen: also TV, Wearable und Smartphone sollten in Zukunft mit Tizen laufen…die wichtigsten Einnahmezweige von Samsung generell und da lassen die 0815 Nerds aus Vietnam drann? Kann ich mir kaum vorstellen.
Auch wenn die Sicherheit nicht gut ist, auf den aktuellen TVs scheint es ja stabil und schnell zu laufen…Und schlecht ist das von der Bedienbarkeit ja auch nicht – jedenfalls besser als AndroidTV. Der Phillips Fernseher von meinen Eltern hat ja ne krausige Software…das schrecklichste vom schrecklichsten (langsam, hängt sich oft auf, YT-App funktioniert nur aller 3 Tage mal wenn man Glück hat und Null an den TV angepasst, nur ein Smartphone Interface gedreht) nur um das dämliche Ambilight zu haben ^^
Auch auf meiner Smartwatch ist Tizen Super…was das an Akku rausholt ist Wahnsinn! Eine Woche hält der kleine Mini Akku von meiner Gear 2 trotz ständig BT an. (Hätte Android Wear nicht geschafft 😉 )
Könnte man meinen, dass es bei Samsung für wichtig gehalten wird oder werden müsste. Du darfst aber auch nicht vergessen, dass die Software bei den Tizen-Systemen aktuell quasi nichts kosten darf. Die Z-Smartphones sind super billig, die können keine Entwicklungskosten für Software einspielen. Auch bei den Smartwatches wird stark auf die Kosten geschaut. Und das sind ja alles Personalkosten. Es ist fast schon eine Gesetzmäßigkeit, dass immer weiter geschaut wird, wo man eine genügend gute Qualität an Programmierern noch günstiger einkaufen kann. Koreaner sind da viel zu teuer, fast ähnlich wie Westeuropäer. Die Inder werden seit Jahren immer teurer, weil die Konkurrenz auf Arbeitgeber-Seite zunimmt – da lässt sich für gute Leute viel rausschlagen. Also, ab nach Vietnam und dort Leute anheuern! Aber das wichtigste hierbei ist das Bewusstsein im Management, dass in Qualität und (Manipulations-)Sicherheit investiert werden muss. Das scheint bei Samsung noch nicht überall durchgedrungen zu sein.
Meine Gear S3 funktioniert auch einigermaßen, so wie ich es mir wünsche. Akkulaufzeit ist akzeptabel (keine Kunst bei dem Klopper). Bedienkonzept ist bekannt gut. Nur es kommt häufig zu vielen Fehlbedienungen durch ein zu sensibes Display, da wäre eine Sperre wünschenswert. Als Sportuhr taugt es aber meiner Meinung nach kaum, da der Pulssensor, wenn er dann mal funktioniert, eher eine Spielerei ist als ein verlässliches Messinstrument. Und dann ist da das Thema Sicherheit: Das Teil ist zu Hause direkt im WLAN, weiß nicht, was es da treibt oder andere so leicht drauf zugreifen können…
Die haben Fachmänner und die besten Informatiker, die es gibt. Also ist das m.M.n keine Ausrede. Was sollen denn dann die Microsoft, Google oder Apple Mitarbeiter sagen?
„alles falsch gemacht, was man falsch machen konnte“.
Hui, was für’ne Ansage!
Jap das ist ziemlich hoch gepokert wenn man bedenkt dass mindestens genauso viele Lücken zeitgleich in Windows iOS oder Android gefunden werden…
nicht umsonst wurden erst kürzlich Millionen von iOS Accounts gehackt… XD ?
Das stimmt
Für den iCloud Hack gibt es immer noch kein Beweis. Und iOS selbst ist so sicher, das das FBI Apple gerichtlich zur Entschlüsselung eines iPhones zwingen will.
Klar haben Android und iOS auch Sicherheitslücken, aber nicht so eklatante wie Tizen anscheinend.
Und am Sonntag kommt der Osterhase, dass ist mal sicher.
Das FBI hat es dann aber aufgegeben, und sich das iPhone von einer anderen Firma knacken lassen.
Generell gilt: Über die Code-Qualität von iOS ist nicht viel bekannt, da das System geschlossen ist. Da kann man nicht „mal so eben“ über den Code gehen wie bei Tizen oder Android.
Generell denke ich dass iOS sicherlich ne recht gute Code Qualität haben sollte, aber auch dort muss man sagen, dass mit jeder neuen Version sofort wieder Jailbreaks existieren. Das geht verdammt schnell für ein geschlossenes System.
Es geht hier nicht um die Frage, ob es eine Software gibt, die fehlerfrei bzw. nicht zu hacken ist. Es geht bei Tizen um den Vorwurf, dass die Programmierer bei/für Samsung einfach unfassbar schlecht gearbeitet haben.
Einige der Fehler fanden sich laut Neiderman in altem Code, den man einfach vom uralten Bada übernommen hatte (was schon echt megapeinlich ist).
Aber es kommt noch schlimmer. Zitat aus dem von Lars oben verlinkten Artikel: „But most of the vulnerabilities he [Neiderman] found were actually in new code written specifically for Tizen within the last two years. Many of them are the kind of mistakes programmers were making twenty years ago, indicating that Samsung lacks basic code development and review practices to prevent and catch such flaws.“
Quelle: https://motherboard.vice.com/en_us/article/samsung-tizen-operating-system-bugs-vulnerabilities
Auch, wenn ich mich wiederhole: Samsung. Kann. Keine. Software.
Epic Fail.