Kaspersky Labのセキュリティアナリストサミットに参加したセキュリティ研究者の調査結果によると、サムスンのTizenオペレーティングシステムには、ゼロデイで悪用可能なセキュリティ上の欠陥、暗号化のプライバシー問題、アマチュアレベルのコーディングミスが多数存在するという。
マザーボード~の痛烈な観察を引用したエクウス ソフトウェア研究者のアミハイ・ナイダーマン氏は、報告キム・ゼッター著。
ナイダーマン氏は、ギャラクシー・ギア・ブランドの時計、スマートテレビ、一部のスマートフォン、カメラ、家電製品のほとんどに搭載されているサムスンのソフトウェアの品質を調査した結果、Tizenは「これまで見た中で最悪のコード」かもしれないと述べた。
同氏はさらに、「そこで悪いことができることはすべて、彼らがやっている。セキュリティを理解している人間がこのコードを見たり書いたりしていないことがわかるだろう。学部生を連れてきて、ソフトウェアのプログラムをさせているようなものだ」と付け加えた。「セキュリティを理解している人は誰もこのコードを見たり書いたりしていないことがわかります。」
特に、Neiderman 氏は、アプリをダウンロードするための Samsung の Tizen Store の実装に欠陥があることに注意を呼び掛けました。
同氏は、ストアソフトウェア自体は、それを制御できるプロセスが想定できる完全なデバイス特権で実行されるため、「Tizenシステムを任意の悪意のあるコードで更新できる」と指摘した。 Samsung のコードでは、SSL 暗号化が一貫して使用されておらず、機密データが平文で送信される可能性があると報告されています。
Tizen は Samsung 以外では広く使用されていないため、セキュリティ研究者は、Web ブラウザーや Android、Windows、iOS のコードなどの一般的なソフトウェアほど詳しく調査することに多くの時間を投資してきませんでした。一般に、あらゆるベンダーのソフトウェアでさまざまなエクスプロイトが発見され、パッチが適用されています。更新されていない (または更新できない) デバイスは、さらなる問題を引き起こします。
Android スマートフォンの購入者とは異なり、Tizen を実行しているユーザーの多くは、自分のプライバシーが漏洩したり、悪意のあるユーザーによるスパイ行為を可能にする可能性のある欠陥のあるオペレーティング システムを実行していることに気づいていません。
サムスンは Android の安全性も低下させている
サムスンのセキュリティ ソフトウェア開発における貧弱な実績は、Android 搭載の Galaxy S8 の発表時に明らかになりました。ユーザーの単純な写真だけで無効化できる、奇妙なほど効果のない顔認識ロック解除機能。
他の例も Google の Project Zero チームによって指摘されています。サムスンのソフトウェアの監査Galaxy S6 スマートフォンでは Android の上に追加されました。同グループは、調査からわずか 1 週間以内に「相当数の重大度の高い問題」を発見したと報告した。
「悪用するのが簡単な 3 つの論理問題が見つかったことも驚きでした」とチームは述べています。 「この種の問題は、この問題を発見し、悪用し、使用するまでの時間が非常に短いため、特に懸念されます。」
皮肉なことに、Google は以前にサムスンに支援を求めたAndroid 自体のセキュリティを強化して、プラットフォームをエンタープライズ ユーザーにとってより魅力的なものにするために。グーグルのサンダー・ピチャイ最高経営責任者(CEO)はこう紹介した。アンドロイド52014 年に Samsung の Knox セキュリティ ソフトウェアからの貢献により。
Androidには独自の問題がある
似ているひどい欠陥Android 自体でも発見されています。システムソフトウェアに対する権限の不適切な昇格、アプリ署名暗号化の誤った使用、暗号化キーの保管場所の設計が不十分であるこれにより、攻撃者がそれらを盗み、Android のフルディスク暗号化を破ることができます。StageFright の脆弱性これにより、単一のテキストを介したリモート悪用が可能になりました。
実際、Google の OS は、セキュリティ上の欠陥とユーザーのプライバシーの保護に失敗しているという点で非常に悪い評判を得ており、2015 年に ACLU が説明されたGoogleがAndroidを「デジタルセキュリティ格差」や人権問題としてデータ収集や監視にさらしたままにしてきたやり方だ。
ACLUのクリス・ソギオアン氏は、「Googleにはシリコンバレーのどの企業よりも優れたセキュリティチームがある」と述べ、さらに「私が知っているGoogleのセキュリティ担当者はAndroidに当惑している」とも述べた。
Samsung 内で Tizen がゆっくりと煮え立つ
同時に、サムスンはグーグルのアンドロイドへの依存を減らすために独自のOSを開発しようと長年努力してきた。張力と摩擦を生み出すGoogle とライセンシーとの間の取引であり、Android の全出荷量の約半分を占めています。
サムスンが最初に発表したがある2009年にこのソフトウェアを搭載したスマートフォンをいくつか出荷し、2011年に賭けをヘッジするこの年、Google は Motorola Mobility を通じて消費者向けハードウェア ビジネスに参入しようとしました。
2013年までにそれは顕著になりましたティゼンは、Bada に関する既存の作業を、Nokia の Maemo と Intel の Moblin を統合した同様の Linux ベースのモバイル OS プロジェクトである MeeGo の放棄された灰の中に折り込みました。
サムスンの当時の最高経営責任者 JK Shin は、Tizen の野心的な計画を概説し、Tizen を「Android の単純な代替品」以上のものと呼び、スマートフォン、PC、カメラ、外部デバイスへの接続に至るまで、さまざまなサムスン製品間の「クロスコンバージェンス」について説明しました。自動車、バイオテクノロジー、銀行。
2015年にサムスンは発表されたサムスンのZ1携帯電話を含め、「Tizenを搭載したデバイスを大量に導入する」と述べた。同社は、「Tizenは、全社のすべてのデバイスカテゴリを網羅する当社のモノのインターネット(IoT)戦略の大規模かつ重要な部分を構成している」と述べた。
同じプレスリリースでは、「サムスンでは、オープン性を最重視してIoTへの取り組みを進めています。私たちはオープンプラットフォームを望んでおり、他のオペレーティングシステムに対してもオープンであり続けます。そうすることで、サムスン間のシームレスな相互運用性と接続性を確保できます」と述べています。毎日何十億ものデバイスが使用されています。」
サムスンは、インドとロシアをターゲットにしたローエンドモデル以外ではTizenベースのスマートフォンに関心を見つけるのに苦労しているが、同社はこのソフトウェアを利用してAndroidから脱却してきた。ギア22014 年に時計の販売を開始し、他の製品や家電製品にも徐々に進出していきます。
しかし、Tizen、Android、および Android 上の Samsung のソフトウェア層で見られるずさんなセキュリティとコーディングの実践はすべて、Samsung 製品の最大の問題はバッテリーであるという考えに疑問を投げかけており、さまざまなタスクを処理する能力に対する信頼をさらに損なうものです。安全な銀行取引から個人の健康データの保護に加えて、IoT 対応のホームセンサー、ロック、自動車システムの危険な新たな脆弱性からユーザーを保護します。
Isamu 
Isamu 
Isamu