Tizen är namnet på ett Linux-baserat operativsystem. Det utvecklas som ett öppet källkodsprojekt men används huvudsakligen av Samsung i ett flertal av företagets konsumentprodukter, bland annat TV-apparater och smarta klockor. En forskare som har granskat den underliggande koden påvisar nu att Tizen är fylld till brädden med säkerhetsbrister.
Den israeliska säkerhetsforskaren Amihai Neiderman berättar i en intervju med Motherboard om källkoden till Samsungs Tizen-plattform, som han beskriver som "förmodligen den sämsta kod jag någonsin sett" och beskriver vidare att alla möjliga fel som kan göras ur säkerhetsaspekt finns representerade i Tizen-koden.
En stor del av koden kommer från tiden då plattformen kallades Meego och utvecklades av Intel och Nokia, men Neiderman menar att majoriteten av den bristfälliga koden kommer från nyligen tillagd kod. Som exempel på en vanlig brist i koden är en felaktig användning av en funktion i programmeringsspråket C, vilket kan utnyttjas för att orsaka en buffer overflow-attack.
Ytterligare en brist som påvisas är att Tizen-koden använder SSL-kryptering inkonsekvent och felaktigt, vilket leder till att information ibland skickas öppet utan kryptering. Samsung använder Tizen som operativsystem i företagets moderna TV-apparater, där ett flertal angrepp skett på senare tid. Bland annat avslöjades att brister i Samsungs TV-apparater kan utnyttjas för att avlyssna användare.
Majoriteten av dessa angrepp krävde dock att angripande mjukvara aktiveras av användaren, men Neiderman påvisar flera brister som möjliggör fjärranslutna angrepp. Ett sådant exempel är Tizen Store, plattformens mjukvarubutik, som körs med privilegierade rättigheter. Detta innebär att ett angrepp kan ge full kontroll över enheten utan användarens inblandning.
Neiderman rapporterade upptäckten till Samsung, men berättar att han endast fick automatiska standardsvar. Efter att upptäckterna publicerades har Samsung dock gått ut med att företaget ska samarbeta med Neiderman för att åtgärda bristerna.
