Tizen OSに大量の脆弱性

SamsungはTizen OSを搭載したデバイスを次々に発表しています。ところがSAS 2017において、このOSがかなり無防備な状態にあることが報告されました。

ここ数年、スマートフォン開発における最大手であるSamsungは、Tizen OSを大々的に推し進めてきました。この試みは2013年に始まり、Tizen OS上で動作する新しいSamsung製カメラ2機種が市場に登場しました。その後、SamsungはやはりTizenをベースとするスマートウォッチを発売しました。

2015年、Tizenは低価格の「Samsung Z1」を皮切りとして、スマートフォンに搭載されるようになりました(英語記事)。2016年、Samsungは同社製スマートTVのOSを全面的にTizenに切り替えました。そしてついに2017年のConsumer Electronics Show(CES)では、洗濯機、冷蔵庫(英語記事)、掃除機など、Tizen上で動作する家電を発表しています。

現在、数千万台のデバイス(大半はスマートTV)がTizenを搭載しています。今後もSamsungはこのOSを他の家電で実装しようとしているので、この台数は近いうちに大きく伸びるでしょう。

今こそ、問いかけるときです。Tizenは安全でしょうか?

答えは「少しも安全ではない」です。Security Analyst Summit 2017において、セキュリティエキスパートのアミハイ・ネイダーマン(Amihai Neiderman)氏は、40ものゼロデイ脆弱性を報告しました。デバイスのハッキングや乗っ取りに利用されかねない、パッチが提供されていない未知の脆弱性です。中でも深刻なのが、Tizen StoreやTizen Browserに存在する数多くのセキュリティホールです。Tizen Storeはシステム内で最高の権限を持っています。そのため、Tizen Storeの脆弱性を利用してTizenデバイスにマルウェアが送り込まれる可能性があります。

ネイダーマン氏は次のようにコメントしています。「約40種類のバグを発見しましたが、大半が悪用可能に見えます。これらの脆弱性に関して言うなら、2005年に戻ったような感覚を覚えます。脆弱性の調査に関する本を開いたらこれが脆弱性の例として真っ先に挙げられている、それほどのものです。現時点でTizenは完成度がもうひとつで、このように一般に販売できる状態とは思えません。私が数時間調べただけでこれらの脆弱性が見つかったとすると、Tizenの調査に専念するつもりがある人なら、もっと多くの脆弱性を発見するでしょう」

ヒント