カスペルスキー研究所のセキュリティアナリストサミットに参加したセキュリティ研究者の調査結果によると、サムスンのTizenオペレーティングシステムは、ゼロデイ攻撃を受ける可能性のあるセキュリティ上の欠陥、暗号化の不備によるプライバシー問題、アマチュアレベルのコーディングミスが蔓延しているという。
マザーボードは、キム・ゼッター氏のレポートの中で、Equus Software の研究員アミハイ・ネイダーマン氏の厳しい意見を引用した。
ニーダーマン氏は、サムスン社のギャラクシーギアブランドの腕時計やスマートテレビ、一部のスマートフォン、カメラ、家電製品に使われているソフトウェアの品質を調べた上で、Tizenは「私が今まで見た中で最悪のコードかもしれない」と述べた。
彼はさらにこう付け加えた。「あそこでできる悪事はすべて、彼らは実行している。セキュリティの知識を持つ人間が誰もこのコードを見たり書いたりしていないことは明らかだ。まるで学部生を連れてきて、自分のソフトウェアをプログラムさせるようなものだ。」「セキュリティの知識を持つ人間が誰もこのコードを見たり書いたりしていないことは明らかだ。」
特に、ネイダーマン氏は、アプリをダウンロードするためのサムスンのTizenストアの実装に欠陥があることに注意を喚起した。
「Tizenシステムは、どんな悪意あるコードでも好きなようにアップデートできる」と彼は指摘した。ストアソフトウェア自体は、デバイス権限を完全に取得して実行されるため、それを制御できるあらゆるプロセスが権限を奪取できるからだ。また、サムスンのコードはSSL暗号化を不規則に使用しており、機密データが暗号化されずに送信されてしまう可能性もあると報告されている。
TizenはSamsung以外では広く利用されていないため、セキュリティ研究者は、ウェブブラウザやAndroid、Windows、iOSのコードといったより一般的なソフトウェアほど、Tizenを綿密に調査することに多くの時間を費やしていません。あらゆるベンダーのソフトウェアにおいて、多種多様な脆弱性が発見され、修正プログラムが提供されています。更新されていない(または更新できない)デバイスは、さらなる問題を引き起こします。
Android スマートフォンの購入者とは異なり、Tizen を使用しているユーザーの多くは、プライバシーを漏らしたり悪意のあるユーザーがスパイ行為を行える可能性がある欠陥のあるオペレーティング システムを実行していることにすら気づいていません。
サムスンはAndroidのセキュリティを低下させている
サムスンのセキュリティソフトウェア開発における実績の悪さは、以前、Android搭載のGalaxy S8の発表時に明らかになった。Galaxy S8は、ユーザーの写真だけで破れる、奇妙に効果のない顔認識ロック解除機能を推進していた。
グーグルのProject Zeroチームは、サムスンがGalaxy S6にAndroid版を追加したソフトウェアの監査において、他の例も指摘した。同チームは、調査開始からわずか1週間で「相当数の深刻な問題」を発見したと報告した。
「簡単に悪用できる3つの論理的問題を発見したことも驚きでした」と研究チームは指摘する。「この種の問題は、発見、悪用、そして悪用されるまでの時間が非常に短いため、特に懸念されます。」
皮肉なことに、Googleは以前からAndroidプラットフォームを企業ユーザーにとってより魅力的なものにするため、Androidのセキュリティ強化にSamsungの協力を求めていました。Googleの最高経営責任者(CEO)であるサンダー・ピチャイは、2014年にSamsungのKnoxセキュリティソフトウェアの力を借りてAndroid 5を発表しました。
Androidには独自の問題がある
Android 自体にも同様の重大な欠陥が発見されており、システム ソフトウェアの権限の不適切な昇格、アプリ署名暗号化の不適切な使用、攻撃者が暗号化キーを盗んで Android のフル ディスク暗号化を破ることができる不適切な設計の暗号化キーの保存、そしてもちろん、単一のテキストによるリモート攻撃を可能にする StageFright の脆弱性などが含まれています。
実際、GoogleのOSはセキュリティ上の欠陥やユーザーのプライバシー保護の失敗で非常に悪い評判を得ており、2015年にACLUは、GoogleがAndroidをデータ収集と監視にさらしたままにしているやり方を「デジタルセキュリティ格差」であり人権問題であると述べた。
「グーグルはシリコンバレーのどの企業よりも圧倒的に優れたセキュリティチームを持っている」とACLUのクリス・ソギオアン氏は述べ、さらに「私が知っているグーグルのセキュリティ担当者はAndroidを恥ずかしく思っている」とも指摘した。
サムスン社内でTizenがゆっくりと煮え立つ
同時に、サムスンはグーグルのAndroidへの依存を減らすために独自のOSの開発に何年も取り組んでおり、Android出荷の約半分を占めるライセンシーとグーグルの間に緊張と摩擦を生み出している。
サムスンがBadaを初めて発表したのは2009年で、2011年にはこのソフトウェアを搭載したスマートフォンを出荷した。同社は、GoogleがMotorola Mobilityを通じて消費者向けハードウェア事業への参入を試みた年に、賭けに出た。
2013年までに同社はTizenを披露していたが、これはBadaの既存の成果をMeeGoの放棄された灰の中に取り込んだものだった。MeeGoは、NokiaのMaemoとIntelのMoblinを統合した、同様のLinuxベースのモバイルOSプロジェクトだった。
サムスンの当時の最高経営責任者(CEO)JK・シン氏は、Tizenの野心的な計画を概説し、Tizenを「Androidの単なる代替品」以上のものと呼び、スマートフォン、PC、カメラから、自動車、バイオテクノロジー、銀行の外部デバイスとの接続に至るまで、さまざまなサムスン製品の「相互融合」を説明した。
2015年、サムスンは「Tizenを搭載したデバイスを大量に投入する」と発表しました。これにはSamsung Z1スマートフォンも含まれます。同社は「Tizenは、当社のあらゆるデバイスカテゴリーを網羅するモノのインターネット(IoT)戦略において、大きな重要な部分を占めています」と述べています。
同プレスリリースには、「サムスンでは、IoTへの取り組みにおいて、オープン性を最優先に考えています。私たちはオープンプラットフォームを求めており、他のOSにもオープンであり続けます。そうすることで、日々使用される数十億ものデバイス間でシームレスな相互運用性と接続性を確保することができます」と記されています。
サムスンはインドとロシアをターゲットにした低価格モデル以外ではTizenベースのスマートフォンへの関心を得るのに苦労しているが、2014年からはGear 2スマートウォッチでこのソフトウェアを使用してAndroidから脱却し、他の製品や家電製品にも徐々に進出している。
しかし、Tizen、Android、そしてAndroidの上にあるSamsungのソフトウェア層に見られるずさんなセキュリティとコーディング慣行はすべて、Samsung製品の最大の問題はバッテリーであるという考えに疑問を投げかけ、安全な銀行取引から個人の健康データの保護、さらにはIoT対応の家庭用センサー、ロック、自動車システムの危険な新しい脆弱性からユーザーを保護するまで、さまざまなタスクを処理するSamsungの能力に対する信頼をさらに損なうものとなっている。
