Há dezenas de vulnerabilidades no Tizen, sistema operacional proprietário da Samsung, baseado em Linux, que opera de Smart TVs a smartphones da sul-coreana. Quem afirma é Amihai Neiderman, pesquisador independente que palestrou no Security Analiyst Summit, evento realizado pela Kaspersky Lab entre os dias 3 e 4 na Ilha de São Martinho (Caribe). O programador israelense não poupou críticas. Para o especialista, o sistema operacional está longe de ser confiável. A Samsung, porém, não confirma as falhas, mas garante que tem fornecido updates periódicos em produtos com Tizen OS.
"Eu encontrei mais de 40 vulnerabilidades diferentes no Tizen. Algumas afetam todas as versões do sistema. Analisei as que afetam smartphones e também Smart TVs”, disse Neiderman. Para o especialista, era preciso analisar o Tizen já que ninguém estava debruçado sobre isso no momento.
Tizen é alvo de críticas no Security Analyst Summit (SAS) de 2017 (Foto: Melissa Cruz / TechTudo)
O Tizen é um sistema operacional de código aberto baseado em Linux e desenvolvido pela Linux Foundation e Samsung em parceria com Intel e Panasonic. O esforço é para tornarem-se menos dependentes do sistema operacional móvel Android, do Google — ao menos em celulares e TVs.
Neiderman afirma ter invadido uma Smart TV da Samsung usando falhas encontradas no aplicativo Tizen Store, uma loja de apps para os televisores — equivalente do Tizen para a iTunes, da Apple, ou a Google Play Store, do Android. O especialista explica que a loja de aplicativos tem privilégios de operação como instalar outros apps. Exploradas as falhas nesta aplicação, é possível usar esses privilégios para introduzir códigos maliciosos e controlar o dispositivo remotamente. Neiderman lembra ainda que, nos últimos dois anos, vários relatórios denunciando TVs apontaram para a espionagem.
De acordo com a pesquisa de Neiderman, atualmente, o Tizen OS roda em mais de 30 milhões Smart TVs e está disponível em smartphones da linha Samsung Z1, Z2 e Z3 (vendidos em países como Rússia, Índia e Bangladesh), nos smartwatches da Samsung e wearables (dispositivos vestíveis) da linha Samsung Gear, smart câmeras da família NX e em outros produtos de reprodução de mídia em carros e eletrodomésticos como ar condicionado, aspirador de pó, máquina de lavar e geladeiras.
Encontrei mais de 40 vulnerabilidades diferentes no Tizen OS
Amihai Neiderman, Equus Software
As vulnerabilidades encontradas permitiriam que hackers assumissem o controle de dispositivos Tizen à distância, sem que fosse preciso estar próximo fisicamente do aparelho. Atualmente, Neiderman é chefe do setor de pesquisas da Equus Software em Israel, cujo foco maior são os problemas encontrados no Android. Entretanto, o especialista começou a analisar o código do Tizen há oito meses. Neiderman não chegou a desenvolver apps para o sistema, mas se aprofundou nas falhas após comprar uma Smart TV.
Os primeiros telefones com Tizen foram vendidos na Índia, chegaram em algumas partes da África e também na Indonésia. Há rumores de que a Samsung planeja trazê-los para países da América Latina como o Brasil — e expandir as vendas para o Oriente Médio, a Europa e até mesmo os Estados Unidos. Enquanto isso, a Samsung se esforça em oferecer prêmios aos melhores apps desenvolvidos para Tizen e marcou para dias 16 e 17 de maio a Tizen Developer Conference 2017, em São Francisco, colocando para frente o projeto de ter um sistema operacional próprio, após abandonar o Bada OS.
De acordo com o especialista, via acesso remoto, em Smarts TVs, é possível que hackers tenham acesso não só a câmeras de videochamadas como também a dados de pagamento de serviços de assinatura como Netflix e PlayStation Network. Nos smartphones, com um volume maior de dados pessoais, o perigo cresce. Ainda segundo Neiderman, com o esforço da Samsung em usar o Tizen em celulares não seria inesperado se a sul-coreana usasse o sistema na linha S — para os próximos Galaxy S9 ou S10 — já que está instalado nos relógios inteligentes da marca.
"Isso [usar o Tizen OS no Galaxy S9 ou
... S10] é apenas uma previsão. A Samsung parece realmente querer ter seu próprio sistema. Eles não gostam de usar o Android, que é um projeto do Google. O Android usa Google Play Store e movimenta dinheiro com aplicativos para o Google", explica.
Tizen está instalado em alguns dos vários smartwatches da Samsung (Foto: Melissa Cruz / TechTudo)
Em nota ao TechTudo, a Samsung não confirmou as falhas mas informou que oferece updates de software aos consumidores de produtos com Tizen OS. Ainda de acordo com a empresa sul-coreana, não há previsão para a chegada de aparelhos da linha Z, com Tizen, às lojas de eletrônicos do Brasil. Atualmente a linha Galaxy J é a que mais vende no país, justamente pelos preços mais baixos
“A Samsung Electronics leva a segurança e privacidade muito a sério. Nós verificamos regularmente nossos sistemas e se a qualquer momento existe uma vulnerabilidade potencial, agimos prontamente para investigar e resolver o problema. Fornecemos continuamente atualizações de software aos consumidores para proteger seus produtos", afirmou em comunicado.
Embora não tenha havido um contato mais próximo do especialista com a Samsung para compartilhar informações sobre falhas nos últimos meses, Neiderman tenta ser otimista e acredita que é uma questão de amadurecimento do software até que sejam implementados em celulares Galaxy e outros produtos. "O que podemos fazer é esperar que Samsung corrija as vulnerabilidades", encerra.
Com o Tizen fazendo parte da rotina de milhões de usuários em diferentes tipos de dispositivos dentro e fora de casa, as vulnerabilidades do software também podem causar uma corrida ao ouro. Assim como o Windows (Microsoft) e Android (Google), o Tizen está se tornando um sistema operacional de "grande público", o que desperta o interesse de hackers em atingir um volume cada vez maior de vítimas.
"O Tizen é um sistema novo ... como começa a ganhar publicidade e a ser adotado, não são apenas os pesquisadores de segurança que começarão a olhar para o código para identificar vulnerabilidades", afirma Nikolaos Chrysaidos, chefe de inteligência e segurança para sistemas móveis da Avast.
