SamsungのTizenはアマチュアが書いたレベルのコード満載でハッカーが歓喜すると専門家が警告

Samsungはモバイル端末用のOS「Tizen」を独自に開発しており、スマートフォンやスマートウォッチだけでなく、テレビなどのすべてのIT家電に搭載していくことを計画しています。しかし、Tizenにはセキュリティ専門家が「ハッカーが歓喜するような脆弱性が満載だ」とセキュリティ上の問題があると警告しています。

Samsung's Android Replacement Is a Hacker's Dream - Motherboard
https://motherboard.vice.com/en_us/article/samsung-tizen-operating-system-bugs-vulnerabilities

Kaspersky Lab主催のSecurity Analyst Summitで、イスラエルのセキュリティ対策企業Equus Softwareのアミハイ・ネイダーマン氏が、Motherboardに対して「Samsungの開発するTizen OSには、脆弱性が満載である」と伝え、Tizenがスマートフォンやスマート家電などに採用されて市場に出回っている状況は危険であると指摘しました。

すでに、WikiLeaksが公表したCIAの極秘諜報作戦を記す文書「Vault 7」で、Tizenを採用するSamsungのスマートテレビをUSBメモリーを使ってハッキングする手法が明らかにされていますが、ネイダーマン氏によるとTizenの脆弱性を突けば、物理的な接触なしに遠隔で端末を操作することが可能だとのこと。なお、Vault 7などで明らかになったもの以外にも、Tizenには公表されていない脆弱性がネイダーマン氏が確認しているだけでも40個あると述べています。

その一つの例として、ネイダーマン氏はTizenにはヒープオーバーフローに関する脆弱性があると指摘しています。Tizenにはメモリ内のデータを複製する「Strcpy ()」という関数が使われていますが、データを書き込むのに十分な領域が確保されているのかをチェックすることができないという基本的な欠陥があるとのこと。このため、攻撃者は意図的にバッファーオーバーラン状態を作り出せてしまうとネイダーマン氏は指摘しています。ちなみにネイダーマン氏によると、今ではこの機能を使うプログラマーはいないそうですが、Tizenのコード内ではそこら中にあふれている状況だそうです。

また、Tizenでは一部のデータ送受信で安全な接続を行うSSL暗号化を使わないことも分かっているとのこと。そして、SSL暗号を使うべきデータで、SSL暗号化が行われていないと指摘して、「Samsungは暗号化が必要な部分について、多くの間違った想定をしています。安全な接続と、安全でない接続の間をデータを行き来させるのは、わざわざ加える余分な作業です。このことは、Samsungは特定の場所ではSSLをあえて使わないという決定をしていることを示唆しています」と述べ非難しています。

IntelやNokiaがスタートさせたTizenのプロジェクトに参加したSamsungは、2013年に当時開発していたBada OSのコードをTizenに統合しました。しかし、ネイダーマン氏によると、セキュリティ上の問題を抱えるコードはかつての遺産というわけではなく、最近2年間に付け加えられたSamsung独自のコードだとのこと。ネイダーマン氏は「Tizenには『うまくいかないようにしよう』と考えるときにできるあらゆることが含まれています。Tizenのコードを書いている中にセキュリティに対する理解ある人が一人もいないように思えます。まるでアマチュアにコードを書かせているようなものです」と述べ、「これまで見た中で最悪のコードかもしれない」と酷評しています。

ネイダーマン氏はTizenに含まれる脆弱性についてSamsungに通知して脆弱性情報を共有しているとのこと。「Tizenを搭載する製品の数はまだ少なく、特にスマートフォンの数が少ないことからセキュリティ上の問題は顕在化していませんが、Samsungが本格的にスマートフォンにTizenを導入していく前にコードを大幅に見直す必要がある」とネイダーマン氏は警告しています。