Tizen: „Vielleicht der schlechteste Code den ich jemals gesehen habe“

Samsung setzt groß auf das Thema IoT und mit Samsung Knox bietet man für Smartphones auch gleichzeitig eine durchaus prominent angepriesene Sicherheitslösung an. Bei IoT wird jedoch seit Jahren davor gewarnt, dass das „Internet of Things“ gleichzeitig auch massive Sicherheitsrisiken birgt und eben diese scheinen sich bei Samsung nun klar zu zeigen.

Tizen, das Open-Source-Betriebssystem, welches von verschiedenen Unternehmen wie etwa Huawei, Panasonic und Intel entwickelt wurde, wird besonders von dem federführend an der Entwicklung beteiligten Unternehmen Samsung für IoT eingesetzt. SmartTVs, Smartwatches und inzwischen sogar Kühlschränke von Samsung setzen auf Tizen als Betriebssystem. Das Problem: Tizen ist offenbar löchriger als ein Schweizer Käse.Der IT-Sicherheitsexperte Amihai Neiderman aus Israel zieht gegenüber Vice Motherboard ein vernichtendes Urteil über das Betriebssystem.

„It may be the worst code I’ve ever seen.“

Als vielleicht schlechtesten Code, den er jemals gesehen hat beschreibt Neiderman Tizen, über 40 von ihm entdeckte Zero-day-Lücken lassen ihn zu diesem Fazit kommen, welches er im Rahmen einer Sicherheitskonferenz des Antiviren-Herstellers Kasperspy veröffentlichen wird.

„Everything you can do wrong there, they do it. You can see that nobody with any understanding of security looked at this code or wrote it. It’s like taking an undergraduate and letting him program your software.“

Samsung habe „alles falsch gemacht, was man falsch machen konnte“. Es sei ersichtlich, dass niemand mit Ahnung von Sicherheit an dem Code beteiligt war. Aufgrund einer Sicherheitslücke im Tizen-Store war es ihm zudem in der Theorie möglich, jeden Tizen-betriebenen SmartTV den es gibt zu knacken.

„You can update a Tizen system with any malicious code you want.“

Ein Teil der Tizen-Software ist Neiderman zur Folge veraltet und sogar von Samsungs früherem Bada-OS abgekupfert. Im Vorfeld hatte Neiderman Samsung kontaktiert und nur eine standardisierte Email als Antwort erhalten, nach der Veröffentlichung von Motherboard beteuert Samsung nun, dass man mit Neiderman zusammenarbeiten wolle, um Lücken zu schließen.

„We are fully committed to cooperating with Mr. Neiderman to mitigate any potential vulnerabilities. Through our SmartTV Bug Bounty program, Samsung is committed to working with security experts around the world to mitigate any security risks.“

Bei einem Betriebssystem, welches von vielen als Plan B für Googles Android bei zukünftigen Smartphones gesehen wird und welches bereits in etwa Indien auf Smartphones zu finden ist, sollten solch massive Lücken nicht zu finden sein.

Lesenswerte Quelle: Motherboard (vielen Dank für die vielen Einsendungen, ich hatte leider zu wenig Zeit)

Werbung