I samtal med den israeliska säkerhetsforskaren Amihai Neiderman från Equus Software berättar moderkortet att det för närvarande finns 40 orapporterade säkerhetsproblem som skulle möjliggöra extern exekvering och hacking av alla Samsung TV, klockor eller telefoner som använder Tizen som operativsystem. Mer allvarliga är några anklagelser om hur och varför bakom många av dessa exploater.
Det kan vara den värsta koden jag någonsin sett.
Även om Samsung kanske inte funderar på att ersätta Android med Tizen på sina telefoner och surfplattor, är det nuvarande ekosystemet på väg att utökas på ett stort sätt: Samsung har åtagit sig att använda Tizen på de flesta smarta apparater som det säljer framöver. Smarta kylskåp låter som en bra idé tills någon hackar din e-post via en.
Det kan vara den värsta koden jag någonsin har sett, berättar Neiderman för Motherboard. Allt du kan göra fel där, de gör det. Du kan se att ingen med någon förståelse för säkerhet tittade på den här koden eller skrev den. Det är som att ta en grundutbildning och låta honom programmera din programvara.
Alla stora mjukvaruprojekt kommer att ha sin rättvisa andel buggar och utnyttjanden. Vissa är allvarligare än andra, men de flesta forskare tittar inte på Tizen på samma sätt som de är fokuserade på Android, iOS och Windows. Det beror till stor del på att Samsung kommer att sälja fler Galaxy S8-telefoner på en vecka som det sannolikt kommer att sälja av telefoner som kör Tizen. Men det har utsikt över flera av Samsungs framgångsrika produktlinjer inklusive Gear S3 smartur som många av oss har på handleden just nu. Neiderman fortsätter med någon allvarlig skugga mot Samsungs utvecklingsteam för Tizen.
säger att mycket av Tizen-kodbasen är gammal och lånar från tidigare Samsung-kodningsprojekt, inklusive Bada, ett tidigare operativsystem för mobiltelefoner som Samsung avslutade.
Men de flesta av de sårbarheter han hittade var faktiskt i en ny kod skriven specifikt för Tizen under de senaste två åren. Många av dem är den typ av misstag som programmerarna gjorde för tjugo år sedan, vilket indikerar att Samsung saknar grundläggande kodutveckling och granskningspraxis för att förhindra och fånga sådana brister.
Detta är särskilt oroande av flera skäl. För det första har koden Samsung lägger till Android ingen peer review-process eftersom den inte är öppen källkod. Om Samsung, som påstås, saknas när det gäller kodning och granskningstekniker, kan samma slags misstag också vara rikligt i sin Android-portfölj. Även om detta inte är fallet är Samsung Gear-klockfamiljen ansluten till en hel del Android-enheter och delar mycket information som kan vara öppen för någon med rätt verktyg och lite kunskap.
En angripare kan installera all programvara som de vill genom TizenStore-applikationen.
Till och med tokeniserade finansiella data via Samsung Pay måste leva på din klocka på någon nivå, även om det bara är tillräckligt länge för att överföra till en betalningsterminal eller tillbaka till din bank. Tack och lov är det lagrat är ett sätt som gör det mest värdelöst utan nycklarna för att dekryptera det och en hänvisning till vad token är för.
Allt detta åt sidan är den största frågan ett problem med Tizen-applikationsbutiken och installationsprogrammet.
Ett säkerhetshål som Neiderman avslöjade var särskilt kritiskt. Det involverar Samsungs TizenStore-app - Samsungs version av Google Play Store - som levererar appar och programvaruuppdateringar till Tizen-enheter. Neiderman säger att en brist i dess design tillät honom att kapa programvaran för att leverera skadlig kod till sin Samsung TV.
Detta är ett showstopp. Appen TizenStore körs med absoluta systembehörigheter och kan installera och köra allt utan sekundär ingång från användaren. Kapa denna process och använda den för att installera verktyg för fjärråtkomst och ge dem systembehörigheter innebär att en angripare kan göra nästan vad de vill. Varje enhet med åtkomst till TizenStore eller annat sätt att installera Tizen-applikationer är potentiellt sårbar, inklusive Samsung Gear-familjen.
Vi rekommenderar inte att någon slänger ut sin klocka eller tv. Vi har kontaktat Samsung, som berättar för Motherboard att det fungerar med Neiderman för att få allt i form, och vi kommer att uppdatera när vi hör något.
För tillfället ska du vara försiktig med en Windows-dator eller vid laddning av Android-applikationer medan du använder dina Tizen-drivna prylar.
