Há dezenas de vulnerabilidades no Tizen, sistema operacional proprietário da Samsung, baseado em Linux, que opera de Smart TVs a smartphones da sul-coreana. Quem afirma é Amihai Neiderman, pesquisador independente que palestrou no Security Analiyst Summit, evento realizado pela Kaspersky Lab entre os dias 3 e 4 na Ilha de São Martinho (Caribe). O programador israelense não poupou críticas. Para o especialista, o sistema operacional está longe de ser confiável. A Samsung, porém, não confirma as falhas, mas garante que tem fornecido updates periódicos em produtos com Tizen OS.

'Vírus do roteador': o que é, como se instala e quais são os sintomas

"Eu encontrei mais de 40 vulnerabilidades diferentes no Tizen. Algumas afetam todas as versões do sistema. Analisei as que afetam smartphones e também Smart TVs”, disse Neiderman. Para o especialista, era preciso analisar o Tizen já que ninguém estava debruçado sobre isso no momento.

Tizen é alvo de críticas no Security Analyst Summit (SAS) de 2017 (Foto: Melissa Cruz / TechTudo)

O Tizen é um sistema operacional de código aberto baseado em Linux e desenvolvido pela Linux Foundation e Samsung em parceria com Intel e Panasonic. O esforço é para tornarem-se menos dependentes do sistema operacional móvel Android, do Google — ao menos em celulares e TVs.

Neiderman afirma ter invadido uma Smart TV da Samsung usando falhas encontradas no aplicativo Tizen Store, uma loja de apps para os televisores — equivalente do Tizen para a iTunes, da Apple, ou a Google Play Store, do Android. O especialista explica que a loja de aplicativos tem privilégios de operação como instalar outros apps. Exploradas as falhas nesta aplicação, é possível usar esses privilégios para introduzir códigos maliciosos e controlar o dispositivo remotamente. Neiderman lembra ainda que, nos últimos dois anos, vários relatórios denunciando TVs apontaram para a espionagem.

De acordo com a pesquisa de Neiderman, atualmente, o Tizen OS roda em mais de 30 milhões Smart TVs e está disponível em smartphones da linha Samsung Z1, Z2 e Z3 (vendidos em países como Rússia, Índia e Bangladesh), nos smartwatches da Samsung e wearables (dispositivos vestíveis) da linha Samsung Gear, smart câmeras da família NX e em outros produtos de reprodução de mídia em carros e eletrodomésticos como ar condicionado, aspirador de pó, máquina de lavar e geladeiras.

Encontrei mais de 40 vulnerabilidades diferentes no Tizen OS
Amihai Neiderman, Equus Software 

As vulnerabilidades encontradas permitiriam que hackers assumissem o controle de dispositivos Tizen à distância, sem que fosse preciso estar próximo fisicamente do aparelho. Atualmente, Neiderman é chefe do setor de pesquisas da Equus Software em Israel, cujo foco maior são os problemas encontrados no Android. Entretanto, o especialista começou a analisar o código do Tizen há oito meses. Neiderman não chegou a desenvolver apps para o sistema, mas se aprofundou nas falhas após comprar uma Smart TV.

Os primeiros telefones com Tizen foram vendidos na Índia, chegaram em algumas partes da África e também na Indonésia. Há rumores de que a Samsung planeja trazê-los para países da América Latina como o Brasil — e expandir as vendas para o Oriente Médio, a Europa e até mesmo os Estados Unidos. Enquanto isso, a Samsung se esforça em oferecer prêmios

... aos melhores apps desenvolvidos para Tizen e marcou para dias 16 e 17 de maio a Tizen Developer Conference 2017, em São Francisco, colocando para frente o projeto de ter um sistema operacional próprio, após abandonar o Bada OS.

De acordo com o especialista, via acesso remoto, em Smarts TVs, é possível que hackers tenham acesso não só a câmeras de videochamadas como também a dados de pagamento de serviços de assinatura como Netflix e PlayStation Network. Nos smartphones, com um volume maior de dados pessoais, o perigo cresce. Ainda segundo Neiderman, com o esforço da Samsung em usar o Tizen em celulares não seria inesperado se a sul-coreana usasse o sistema na linha S — para os próximos Galaxy S9 ou S10 — já que está instalado nos relógios inteligentes da marca.

"Isso [usar o Tizen OS no Galaxy S9 ou S10] é apenas uma previsão. A Samsung parece realmente querer ter seu próprio sistema. Eles não gostam de usar o Android, que é um projeto do Google. O Android usa Google Play Store e movimenta dinheiro com aplicativos para o Google", explica.

Tizen está instalado em alguns dos vários smartwatches da Samsung (Foto: Melissa Cruz / TechTudo)

Em nota ao TechTudo, a Samsung não confirmou as falhas mas informou que oferece updates de software aos consumidores de produtos com Tizen OS. Ainda de acordo com a empresa sul-coreana, não há previsão para a chegada de aparelhos da linha Z, com Tizen, às lojas de eletrônicos do Brasil. Atualmente a linha Galaxy J é a que mais vende no país, justamente pelos preços mais baixos

“A Samsung Electronics leva a segurança e privacidade muito a sério. Nós verificamos regularmente nossos sistemas e se a qualquer momento existe uma vulnerabilidade potencial, agimos prontamente para investigar e resolver o problema. Fornecemos continuamente atualizações de software aos consumidores para proteger seus produtos", afirmou em comunicado.

Embora não tenha havido um contato mais próximo do especialista com a Samsung para compartilhar informações sobre falhas nos últimos meses, Neiderman tenta ser otimista e acredita que é uma questão de amadurecimento do software até que sejam implementados em celulares Galaxy e outros produtos. "O que podemos fazer é esperar que Samsung corrija as vulnerabilidades", encerra. 

Com o Tizen fazendo parte da rotina de milhões de usuários em diferentes tipos de dispositivos dentro e fora de casa, as vulnerabilidades do software também podem causar uma corrida ao ouro. Assim como o Windows (Microsoft) e Android (Google), o Tizen está se tornando um sistema operacional de "grande público", o que desperta o interesse de hackers em atingir um volume cada vez maior de vítimas. 

"O Tizen é um sistema novo ... como começa a ganhar publicidade e a ser adotado, não são apenas os pesquisadores de segurança que começarão a olhar para o código para identificar vulnerabilidades", afirma Nikolaos Chrysaidos, chefe de inteligência e segurança para sistemas móveis da Avast.



>>> Veja o artigo completo no TechTudo