Werbung
In der Öffentlichkeit spielt Tizen nach wie vor keine Rolle. Zwar setzt Samsung das ursprünglich einmal als Alternative zu Android und seinen Ablegern vorgesehene Betriebssystem in zahlreichen Geräten ein, doch wirklich beworben wird die Plattform nicht. Vielleicht auch deshalb hat Tizen es bislang nicht in den Fokus von Sicherheitsexperten geschafft. Das hat sich nun geändert – mit desaströsen Ergebnissen.
Im Rahmen des Kaspersky Lab's Security Analyst Summit stellte der israelische Forscher Amihai Neiderman seine Erkenntnisse vor, dem Magazin Motherboard verriet er sie bereits vorab. Sein Fazit: „Das könnte der schlimmste Code sein, den ich jemals gesehen habe."
Als Grund für diese Einschätzung nennt Neiderman nicht nur die pure Anzahl der Lücken, sondern auch deren Tragweite. „Alles, was man falsch machen kann, haben sie falsch gemacht. Man kann erkennen, dass niemand mit Ahnung von Sicherheit den Code geschrieben oder ihn angeschaut hat", so seine wenig schmeichelhafte Einschätzung.
Alle von ihm entdeckten Lücken könnten dafür genutzt werden, um die Kontrolle über das jeweilige Gerät zu übernehmen. Besonders schwerwiegend sei aber ein anderes Sicherheitsproblem. Das betrifft ausgerechnet den in Tizen integrierten App Store. Über die Lücke sei es ihm möglich gewesen, eigenen Code einzuspielen. Die eigentliche Schutzmaßnahme – das Akzeptieren von nur korrekt signiertem Code durch den App Store – konnte damit ausgehebelt werden. Erschwerend kommt laut Neiderman hinzu, dass der App Store selbst mit den höchsten Zugangsberechtigung operiert, was aufgrund seiner eigentlichen Aufgabe auch notwendig sei. Allerdings sei es damit möglich, das gesamte System mit Schadcode zu infizieren – mit allen erdenklichen Folgen.
Eine einzige Erklärung für all die Probleme hat Neiderman nicht. Denn am Ende, so seine Einschätzung, hätten mehrere, teils voneinander unabhängige Nachlässigkeiten, zu dieser Quantität und Qualität der Gefährdungen geführt. Teilweise sei er auf Fehler gestoßen, die eigentlich für Entwickler vor 20 Jahren typisch gewesen seien. Ebenso würde SSL nicht flächendecken, sondern nur punktuell genutzt werden. Eine Rolle spielt ihm zufolge aber auch Samsungs Ansatz, Bada soweit wie möglich in Tizen zu integrieren. Mit Bada wollte Samsung 2010 zum ersten Mal probieren, die Abhängigkeit von Android zu verringern, 2013 erfolgte dann jedoch das Aus. Als Gründe hierfür wurden die geringe Akzeptanz sowie die besseren Aussichten anderer Plattformen genannt. Die Wahl fiel im folgenden auf Tizen, ein zuvor schon von Intel und der Linux Foundation vorangetriebenes Projekt. Samsung entpuppte sich hier schnell als treibende Kraft.
Inzwischen wird das Betriebssystem von Samsung in Fernsehern und Smartwatches eingesetzt, Smartphone-Pläne wurden ebenfalls umgesetzt – wenn auch nur in in bestimmten Regionen. Neiderman selbst begann die Untersuchung des Codes auf einem von ihm erworbenen Fernseher, nach dem Auftauchen diverse Lücken weitete er seine Forschung aber auf Smartphones aus. Dabei stellte er fest, dass die Probleme unabhängig vom genutzten Gerät vorhanden seien, dementsprechend sind auch Smartwatches wie die Gear S3 betroffen.
Auf die Lücken hat Neiderman Samsung bereits vor Monaten hingewiesen, eine nennenswerte Reaktion hätte es aber nicht gegeben. Erst mit der Veröffentlichung seiner Ergebnisse hätte das Unternehmen reagiert: Man tausche sich mit dem Experten aus.
Update
Laut Samsung sind die Ausmaße der Sicherheitslücken geringer als bislang angenommen. Nach eigenen Angaben sind weder Wearables, noch Smart-TVs davon betroffen. Dabei bezieht man sich auf Untersuchungen des Samsung Visual Display Business Security Team. Dies ist zu dem Ergebnis gekommen, dass nur ein bestimmter Open-Source-Code des Betriebssystems die entdeckten Schwachstellen enthält, der letztlich aber nicht bei allen Tizen-Geräten verwendet wird.