מערכת ההפעלה Tizen של סמסונג היא בלגן של ליקויי אבטחה שניתנים לניצול של יום אפס, בעיות פרטיות בהצפנה שבורות וטעויות קידוד ברמת חובבים, על פי ממצאיו של חוקר אבטחה המשתתף בפסגת אנליסט האבטחה של מעבדת קספרסקי.
לוח אםציטט את התצפיות הצורבות שלתוכנת Equusהחוקר עמיחי ניידרמן באדִוּוּחַמאת קים זטר.
ניידרמן אמר שטיזן עשוי להיות "הקוד הגרוע ביותר שראיתי אי פעם" לאחר שבדק את איכות התוכנה של סמסונג המשמשת להפעלת רוב השעונים שלה ממותגי Galaxy Gear, טלוויזיות חכמות וחלק מהסמארטפונים, המצלמות והמכשירים הביתיים שלה.
הוא הוסיף, "כל מה שאתה יכול לעשות שם לא נכון, הם עושים את זה. אתה יכול לראות שאף אחד שמבין באבטחה לא הסתכל על הקוד הזה או כתב אותו. זה כמו לקחת תואר ראשון ולתת לו לתכנת את התוכנה שלך"."אתה יכול לראות שאף אחד שמבין באבטחה לא הסתכל על הקוד הזה או כתב אותו."
במיוחד, ניידרמן הפנה את תשומת הלב ליישום הפגום של חנות Tizen של סמסונג להורדת אפליקציות.
"אתה יכול לעדכן מערכת Tizen בכל קוד זדוני שתרצה", הוא ציין, כאשר תוכנת החנות עצמה פועלת עם הרשאות מכשיר מלאות שניתן לקבל על ידי כל תהליך המסוגל להשתלט עליה. כמו כן, דווח כי הקוד של סמסונג משתמש באופן לא עקבי בהצפנת SSL, מה שמאפשר לשלוח נתונים רגישים בצורה ברורה.
מכיוון ש-Tizen לא נמצא בשימוש נרחב מחוץ לסמסונג, חוקרי אבטחה לא השקיעו זמן רב בבחינה מקרוב כמו תוכנות פופולריות יותר, כגון דפדפני אינטרנט או הקוד באנדרואיד, ווינדוס ו-iOS. מגוון רחב של ניצול נפוץ מתגלה ומתוקן בתוכנות מכל הספקים. מכשירים שאינם מעודכנים (או לא יכולים להתעדכן) מהווים בעיה נוספת.
שלא כמו רוכשי טלפונים אנדרואיד, משתמשים רבים שמפעילים את Tizen אפילו לא מבינים שהם מפעילים מערכת הפעלה פגומה שעלולה לחשוף את פרטיותם או לאפשר למשתמשים זדוניים לרגל אחריהם.
סמסונג גם הופכת את אנדרואיד לפחות בטוחה
הרקורד הגרוע של סמסונג בפיתוח תוכנת אבטחה הוצג בעבר עם הצגת ה-Galaxy S8 המופעל על ידי אנדרואיד, אשר קידםתכונת פתיחת נעילה של זיהוי פנים לא יעילה באופן מוזר שניתן להביס עם תמונה פשוטה של המשתמש.
דוגמאות אחרות צוינו גם על ידי צוות Project Zero של גוגל בביקורת על התוכנה של סמסונגנוסף על גבי אנדרואיד בטלפונים שלה Galaxy S6. הקבוצה דיווחה שמצאה "מספר ניכר של בעיות בדרגת חומרה גבוהה", תוך שבוע בלבד מהבדיקה.
"זה היה גם מפתיע שמצאנו את שלוש בעיות ההיגיון שטריוויאליות לניצול", ציין הצוות. "סוגים אלה של נושאים מדאיגים במיוחד, שכן הזמן למצוא, לנצל את הנושא ולהשתמש בו הוא קצר מאוד."
למרבה האירוניה, גוגל עשתה זאת קודם לכןפנה לסמסונג לסיועבחיזוק האבטחה של אנדרואיד עצמו כדי להפוך את הפלטפורמה למושכת יותר עבור משתמשי Enterprise. מנכ"ל גוגל סונדאר פיצ'אי הציגאנדרואיד 5בשנת 2014 עם תרומות מתוכנת האבטחה Knox של סמסונג.
לאנדרואיד יש בעיות משלה
דוֹמֶהפגמים קשיםהתגלו גם באנדרואיד עצמו, כוללהסלמה לא נכונה של הרשאות עבור תוכנת מערכת,שימוש שגוי בהצפנת חתימת אפליקציה, האחסון מעוצב בצורה גרועה של מפתחות הצפנהשמאפשרים לתוקפים לגנוב אותם ולהביס את הצפנת הדיסק המלא של אנדרואיד, וכמובן, אתפגיעות StageFrightשאפשרו ניצול מרחוק באמצעות טקסט בודד.
למעשה, מערכת ההפעלה של גוגל זכתה למוניטין רע כל כך בפגמי אבטחה ואי הגנה על פרטיות המשתמשים, עד שבשנת 2015 ה-ACLUמְתוּאָרהאופן שבו גוגל משאירה את אנדרואיד פתוחה לאיסוף נתונים ומעקבים כ"פער אבטחה דיגיטלי" וסוגיית זכויות אדם.
"לגוגל יש את צוות האבטחה הטוב ביותר מכל חברה בעמק הסיליקון", אמר כריס סוגיואן מ-ACLU, לפני שציין גם כי "אנשי האבטחה שאני מכיר בגוגל נבוכים מאנדרואיד".
הרתיחה האיטית של טיזן בתוך סמסונג
במקביל, סמסונג מנסה במשך שנים לפתח מערכת הפעלה משלה כדי להפחית את התלות שלה באנדרואיד של גוגל,יצירת מתח וחיכוךבין גוגל לבין בעל הרישיון המהווה כמחצית מכל משלוחי האנדרואיד.
סמסונג הכריזה לראשונהאם ישבשנת 2009, ושלח כמה סמארטפונים המריצים את התוכנה בשנת 2011,לגדר את ההימורים שלההשנה שבה ניסתה גוגל לקנות את דרכה לעסקי החומרה הצרכניים באמצעות Motorola Mobility.
עד 2013, זה השוויץטיזן, שקיפלה את עבודתה הקיימת על Bada לתוך האפר הנטוש של MeeGo, פרויקט מערכת הפעלה ניידת מבוססת לינוקס דומה שבעצמה מיזגה את Maemo של נוקיה ואת Moblin של אינטל.
מנכ"ל סמסונג דאז, JK Shin, תיאר תוכניות שאפתניות עבור Tizen, כינה אותה יותר מ"אלטרנטיבה פשוטה לאנדרואיד" ותיאר "התכנסות צולבת" בין מוצרי סמסונג שונים, החל מסמארטפונים, מחשבים אישיים, מצלמות וחיבור למכשירים חיצוניים. רכב, ביוטכנולוגיה ובנקאות.
בשנת 2015, סמסונגהכריזשהיא "תציג מבול של מכשירים שמריצים את ה-Tizen", כולל הטלפון של סמסונג Z1. מהחברה נמסר כי "טיזן מהווה חלק גדול וחשוב מאסטרטגיית האינטרנט של הדברים (IoT) שלנו המקיפה את כל קטגוריות המכשירים ברחבי החברה".
באותה הודעה לעיתונות צוין, "בסמסונג, יוזמות ה-IoT שלנו מבוצעות תוך שימת דגש על פתיחות. אנחנו רוצים פלטפורמות פתוחות, ואנחנו גם נשארים פתוחים למערכות הפעלה אחרות. בכך נוכל להבטיח יכולת פעולה הדדית וקישוריות חלקה בין מיליארדי מכשירים בשימוש יומיומי".
בעוד סמסונג התקשתה למצוא עניין בסמארטפונים מבוססי Tizen מחוץ לדגמים מתקדמים המיועדים להודו ולרוסיה, היא השתמשה בתוכנה כדי להתנתק מאנדרואיד.הילוך 2שעונים החל משנת 2014, עם התקדמות מצטברת למוצרים אחרים ולמכשירי חשמל ביתיים.
עם זאת, שיטות האבטחה והקידוד המרושלות המוצגות בשכבות התוכנה של Tizen, אנדרואיד וסמסונג על גבי אנדרואיד כולן מאתגרות את התפיסה שהבעיות הגדולות ביותר במוצרים של סמסונג הן הסוללות שלה, ושחוקות עוד יותר את האמון ביכולתה להתמודד עם משימות החל מ- עסקאות בנקאיות מאובטחות להגנה על נתוני בריאות אישיים, כמו גם הגנה על משתמשים מפני נקודות תורפה חדשות ומסוכנות בחיישנים ביתיים, מנעולים ומכוניות התומכים ב-IoT מערכות.
![Motorola RAZR עם iTunes מגיע לארה"ב](\"https://photos2.insidercdn.com/itunes-phone-razr-v3i.gif\")
