三星一直致力于让自家产品能够摆脱Android系统的束缚,所以接二连三的给自家的手机、手表、电视等搭载了自己研发的Tizen系统,但是Tizen系统似乎并不安全。
Tizen操作系统不仅可用于手机,也可用于平板电脑、智能电视、车载系统。Tizen系统是英特尔MeeGo系统与三星LiMo系统的混合体。Tizen底层平台相关API按照HTML5的形式公开出来,服务将涵盖通信、多媒体、相机、网络、社区媒体等。Tizen支持平板以及各种移动设备。Tizen绝大部分的源代码与MeeGo共用,至于MeeGo则是Moblin与Maemo合并而来。
以色列研究员 Amihai Neiderman 称,三星的开源操作系统 Tizen 存在大量安全漏洞,“在每一个你能犯错的地方,他们都犯了。”Neiderman 称他发现的大部分漏洞都是近期写的新代码。举例来说,缓冲溢出问题多是因为不正确使用 strcpy()函数导致的,为了避免这个问题开发者多数会选择使用替代函数,但三星的 Tizen 开发者几乎将这个函数用在任何地方。三星的代码还被发现没有以一致的方式使用 SSL,它甚至以明文方式传输敏感信息。Neiderman 称他发现的漏洞能被远程利用,比如应用市场 TizenStore 拥有最高权限,利用它的漏洞可以控制整个设备。他在公开曝光 Tizen 问题前曾联络三星,结果只收到自动回复。
据外媒报道,俄国卡巴斯基实验室在Tizen系统中发现了40多个漏洞。卡巴斯基的安全研究人员Amihai Neiderman对媒体表示:“这可能是我所见过的最烂的代码,所有能够出错的地方,他们都出错了,你可以看到没有任何安全技术了解的人审核了这些代码,或者编写了代码。”
其中一个漏洞存在于Tizen软件商店中,黑客可以利用漏洞通过软件更新的方式,在用户手机中植入流氓软件。据称,三星电子宣称只有经过认证的软件才能够进行更新,但是黑客可以绕过三星的限制体系。
这位研究人员还表示,在传输重要数据的场合中,三星Tizen甚至没有进行加密,即在是否需要进行安全传输的问题上,三星做了很多错误的假定。