Samsung vorrebbe ridurre la sua dipendenza da Android con il lancio di smartphone alimentati da piattaforma Tizen che sta sviluppando e che attualmente alimenta smartwatch, fitness tracker e Smart TV. Tuttavia, un ricercatore di sicurezza ha trovato 40 vulnerabilità in Tizen OS, che renderebbero milioni di smartphone, smartwatch e TV vulnerabili alla pirateria informatica.
Qualche settimana fa il sito Wikileaks ha pubblicato una serie di documenti che hanno rivelato i vari metodi che la CIA usa per invadere la privacy delle persone violando i loro dispositivi elettronici, tra cui computer e smartphone. E’ poi riemerso che i televisori Samsung TV possono facilmente essere mezzi attraverso cui è possibile ascoltare le conversazioni domestiche. Restando in tema di vulnerabilità, un ricercatore di sicurezza israeliano ha scoperto che le Smart TV di Samsung non sono il solo prodotto del produttore sudcoreano che puo’ essere violato: ad essere molto vulnerabili sono in generale i dispositivi alimentati dalla piattaforma Tizen OS di Samsung, che guarda caso si trova sui televisori del produttore ma si puo’ trovare anche su smartphone e dispositivi indossabili.
Samsung porta avanti lo sviluppo della piattaforma Tizen OS assieme con Intel e la giapponese NTT Docomo si è impegnata ad utilizzare il sistema operativo sui suoi prossimi smartphone di fascia alta. Il sistema operativo è open-source e basa alcuni propri elementi su Android.
Tizen risulta essere in esecuzione su circa 30 milioni di televisori intelligenti, così come milioni di smartwatch Samsung Gear e in alcuni telefoni Samsung in un numero limitato di paesi come la Russia, l’India e il Bangladesh (l’azienda prevede di vendere 10 milioni di telefoni Tizen quest’anno). Samsung ha anche annunciato all’inizio di quest’anno che Tizen sarà il sistema operativo che utilizzerà nella sua nuova linea di lavatrici e frigoriferi intelligenti.
Amihai Neiderman, responsabile della ricerca presso Equus Software, ha scoperto che il sistema operativo Tizen che viene utilizzato su smartphone Samsung, indossabili, e altri dispositivi per la casa intelligenti (tra cui elettrodomestici come frigoriferi) ha tutta una serie di falle di sicurezza che, se sfruttate dagli hacker, potrebbero violare la privacy di milioni di persone.
Neiderman quando ha acquistato un televisore Samsung con piattaforma Tizen per la sua casa ha voluto analizzare il codice con cui è stata scritta la piattaforma del suo televisore è stato scritto prima di acquistare smartphone Samsung che utilizzano il sistema operativo Tizen e analizzare anche qui il codice, riuscendo a rilevare non meno di 40 vulnerabilità sconosciute – ossia falle aperte, non risolte.
“Potrebbe essere il codice peggiore che abbia mai visto" ha commentato il ricercatore nell’intervista rilasciata al sito Motherboard.
"Tutte le vulnerabilità permetterebbero agli hacker di assumere il controllo di un dispositivo Samsung da lontano, per eseguire del codice dannoso da remoto" spiega il ricercatore. Ma di tutte le vulnerabilità trovate, Neiderman ne ha trovata una in particolare all’interno della porzione di codice dedicata al Tizen Store, una vulnerabilità che ha classificato di livello ‘critico’. Secondo Neiderman, questa vulnerabilità gli ha permesso di dirottare il software per inserire del codice dannoso nel suo Samsung TV nei test che ha condotto. Dal momento che il Tizen Store ha i privilegi più alti, può essere utilizzato da un hacker per violare ogni dispositivo che ne ha accesso.
Secondo Neiderman, gran parte della base di codice con cui Tizen OS è stato scritto proviene da Bada, il sistema operativo mobile a cui Samsung lavorava prima di terminare il progetto per concentrarsi su Tizen. Nonostante questo, la maggior parte delle vulnerabilità trovate in Tizen sono risalenti agli ultimi due anni, quindi non hanno a che fare con Bada.
“Si può vedere che hanno preso tutto questo codice [di Bada] e hanno cercato di portarlo in Tizen”, dice Neiderman.
Il problema puo’ anche essere limitato per quanto riguarda i televisori, in quanto ci sono poche informazioni sensibili che salvano gli utenti in questo tipo di prodotto, anche se i TV con microfono o webcam integrata permetterebbero agli hacker di spiare nelle case delle loro vittime. Il problema si fa piu’ importante sugli smartphone, dove i consumatori salvano un sacco di proprie informazioni, tra cui dati di carte di credito o password personali.
I primi telefoni alimentati da Tizen OS sono stati venduti in India, ma da allora la loro disponibilità è stata ampliata in Sud Africa, Nepal, parte dell’Africa e dell’Indonesia, e ci sono indiscrezioni secondo cui Samsung prevede di vendere presto telefoni Tizen in America Latina e in Medio Oriente, alcuni mercati d’Europa, e infine negli Stati Uniti. La società ha anche iniziato ad incentivare gli sviluppatori per espandere il catalogo di applicazioni Tizen offrendo bonus fino a 10,000 dollari agli sviluppatori le cui app rientrano tra le più scaricate dagli utenti.
Risulta ora che Samsung sia in contatto con Neiderman per risolvere tutte le vulnerabilità e i problemi di sicurezza trovati nel codice di Tizen. Nonostante questo, il ricercatore suggerisce che Samsung dovrebbe fare una profonda revisione del codice della piattaforma prima di proseguire nella distribuzione di Tizen nei telefoni.