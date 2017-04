Software::Security

Samsungs Tizen voller Sicherheitslücken

Samsung-Geräte, die mit Tizen laufen, weisen nach den Erkenntnissen eines Sicherheitsforschers Dutzende schwerwiegender Sicherheitslücken auf, die Millionen von Geräten, wenn sie einen Internet-Anschluss besitzen, zur leichten Beute für Internet-Kriminelle machen.

Samsung Samsung Gear 2

Tizen ist ein Linux-System für Mobilgeräte, das von der Linux Foundation und der LiMo Foundation ins Leben gerufen wurde und hauptsächlich von Samsung als Alternative zu Android vorangetrieben wird. Es entstand 2011 aus Meego , nachdem Intel sich aus dem Meego-Projekt zurückgezogen hatte.

Nun haben Sicherheitsforscher laut einem Artikel auf »Motherboard« 40 bisher unbekannte Sicherheitslücken (»Zero Days«) in Samsungs Variante von Tizen entdeckt. Diese Lücken stecken aber, soweit die Angaben von Amihai Neiderman von der israelischen Firma Equus Software vermuten lassen, nicht in Tizen selbst, sondern in den von Samsung zusätzlich entwickelten Anwendungen. Neiderman spricht von stümperhaftem Code, dem schlimmsten, den er je gesehen habe, von völliger Missachtung jeglicher Sicherheitsprinzipien und fehlender Qualitätskontrolle bei Samsung. Teile dieses Codes stammen wohl noch aus Samsungs gescheitertem Mobilsystem Bada, der größere Teil wurde jedoch in den letzten zwei Jahren geschrieben - und enthält Fehler, die versierte Programmierer seit 20 Jahren vermeiden.

Sämtliche entdeckten Fehler führen laut Neiderman dazu, dass Angreifer das angeschlossene System ohne große Mühe aus der Ferne Code einschleusen können. Besonders schwerwiegend ist ein Fehler in der TizenStore-App, über die man beliebigen Code nicht nur auf dem Gerät installieren, sondern diesen auch mit höchsten Privilegien ausführen kann. Durch diese Probleme sind potentiell Millionen von Geräten bedroht. Tizen läuft auf geschätzten 30 Millionen TV-Geräten, Millionen von Gear-Smartwatches und einigen Smartphones von Samsung. Obwohl Smartphones ursprünglich das Hauptziel von Tizen waren, kommen Smartphones und Tablets mit Tizen nicht in die Gänge. Samsung will dieses Jahr 10 Millionen Smartphones mit Samsung absetzen, was allerdings selbst im besten Fall nur einen winzigen Bruchteil der Android-Verkaufszahlen darstellt. Mit einem neuen App-Wettbewerb versuchte Samsung daher im letzten Jahr, die Attraktivität von Tizen zu steigern, was allerdings angesichts des geringen Preisgelds nur als halbherzig bezeichnet werden konnte.

Nachdem Samsung die Hinweise des Sicherhsitsforschers monatelang ignoriert hatte, führte die Publikation des Artikels endlich zu einer Reaktion des Unternehmens. Darin erklärte Samsung, mit Neiderman kooperieren zu wollen. Diese Kooperation scheint inzwischen begonnen zu haben, und dürfte im Rahmen des »SmartTV Bug Bounty-Programms« auch zu Zahlungen an Neiderman für das Melden der Probleme führen.