Tizen OS, el reemplazo de Samsung para Android, no es nada seguro

Samsung lleva ya un tiempo preparando un sistema operativo para sus nuevos modelos de smartphone (Galaxy S8, Smart TV existentes) con el que piensan reemplazar el suministrado hasta ahora, Android. El sistema en cuestión es Tizen OS, open source y adaptado desde Linux. Y el caso es que no empieza con buen pie, dado que es inseguro.

Tizen OS está plagado Zero Days. Concretamente, 40 vulnerabilidades han  sido desclasificadas por un investigador israelí -Amihai Neiderman- y, aunque en un principio se resistieron a reconocerlas, los desarrolladores de Samsung han prometido ponerse a trabajar para solventarlo cuanto antes.

40 vulnerabilidades en Tizen OS

Para ser un sistema operativo que aún no ha comenzado a usarse masivamente, son malas noticias. Lo peor es que se trata de vulnerabilidades graves y que dejarían abierta la puerta a ejecución de código remoto. Estamos por tanto ante el peor escenario posible, ya que el atacante contaría con una shell y todos los permisos.

Podría ser el código peor escrito que he visto jamás. -Amihai Neiderman

En una entrevista a Motherboard, además de esto se lamenta de la aparente carencia total de concienciación con la seguridad de estos desarrolladores.

Es como coger a un estudiante de instituto y pedirle que te programe el software.

De entre la lista de vulnerabilidades, destaca por ejemplo una que afecta a la TizenStore de Samsung, que es la versión equivalente al Play Store de Google. Es la encargada de actualizar los dispositivos basados en Tizen, operando con los más altos privilegios posibles, algo que permitió a Neiderman enviar código malicioso a su televisor Samsung.

Por otro lado, no se ha utilizado cifrado mediante SSL para garantizar comunicaciones seguras.

Dispositivos afectados

De entre los 21 millones de aparatos que llevan Tizen OS instalado -no muchos en comparación con otros sistemas, pero son bastantes- existen varios modelos de Smart TVs que lo usan, junto a smartphones Samsung Z1, Z2 y Z3, principalmente vendidos en la India. Pero también está en wearables como Samsung Gear, neveras, lavadoras, etc.

Conclusiones

Como usuario hay algo que me molesta bastante y que suelen hacer algunas corporaciones como esta, y es ignorar al buen hacker que les dice «señores, he visto esto, cuidado» durante meses, hasta que se ven forzados a responder cuando sale a los medios, como ha sido este caso. En fin, así es el business.