По большому счёту, как и раньше, Tizen не играет большой роли на рынке. Хотя Samsung использует эту ОС в качестве альтернативы Android и её версий во множестве устройств, платформа не очень-то рекламируется. Вероятно, по этой причине Tizen не попадал в поле зрения экспертов по безопасности. Но вот специалисты проявили интерес к этой ОС, и результаты оказались ужасающими.
В рамках Kaspersky Lab's Security Analyst Summit свои сведения представил израильский исследователь Амихай Найдерман, которыми делится журнал Motherboard. Его вывод таков: "Вероятно, это худший код, который я когда-либо видел."
Свои слова Найдерман аргументирует тем, что он обнаружил в ОС огромное количество самых разных брешей безопасности. "Всё, что можно было сделать не так, они сделали не так. Складывается впечатление, что тот, кто писал код, не имеет ни малейшего представления о защите", - таков его далеко не лестный отзыв.
Все обнаруженные им бреши безопасности можно использовать для того, чтобы захватить устройство. Но особо опасна иная проблема. Она касается интегрированного в Tizen магазина приложений. Брешь безопасности открывает возможность вписать через него свой код. Меру защиты – приём только корректно написанного кода через магазин приложений – можно обойти. Всё усложняется, по словам Найдермана, тем, что ПО из магазина Tizen обеспечены привилегии на устройстве, и это настоящий подарок для хакера. Злоумышленник получает возможность инфицировать систему вредоносным кодом со всеми вытекающими из этого последствиями.
Единого решения для всех обнаруженных проблем Найдерман не предложил. В конце концов, говорит он, они вызваны целым рядом порой не связанных друг с другом недочётов. Некоторые из выявленных им ошибок разработчики допускали ещё 20 лет назад. Он раскрыл, что разработчики ОС не используют протокол SSL для безопасной передачи данных. Они используют этот протокол для передачи некоторых данных, но там, где это нужно больше всего, шифрование SSL не используется. По его мнению, определённая роль принадлежит здесь стремлению Samsung интегрировать в Tizen платформу Bada. Bada стала первой попыткой Samsung в 2010 году сократить зависимость от Android, но в 2013 эта платформа перестала существовать. Это произошло по причине малой популярности Bada и большей перспективности других платформ. Впоследствии выбор компании пал на Tizen, проект, продвигавшийся ранее Intel и Linux Foundation. Samsung выступила в нём движущей силой.
Теперь ОС используется Samsung в телевизорах и смарт-часах, изменились планы и в отношении смартфонов – правда, продаваться они будут не везде. Найдерман начал изучать код на собственном телевизоре. Обнаружив бреши, он перешёл и на смартфоны. Он установил, что проблемам подвержены все устройства, то есть и смарт-часы, такие как Gear S3, в том числе.
Найдерман сообщил Samsung о брешах безопасности несколько месяцев назад, но не получил ожидаемой реакции. Лишь после публикации результатов исследования Найдермана компания начала что-то предпринимать. Она связалась с экспертом.