L’immagine di Samsung che è emersa dal Kaspersky Security Analyst Summit svoltosi la scorsa settimana a St. Marteen non è proprio delle migliori: il ricercatore di sicurezza israeliano Amihai Neiderman ha rivelato di aver scovato ben 40 vulnerabilità zero-day all’interno di Tizen , sistema operativo open source sviluppato da Samsung e a bordo, a partire dal 2013, di dispositivi quali telecamere, smartphone, smart TV, lavatrici, frigoriferi, aspirapolvere .
A rendere la situazione ancora peggiore per Samsung sono state alcune dichiarazioni che Neiderman ha reso in un’intervista a Motherboard , dove ha asserito di aver individuato le vulnerabilità in poche ore di lavoro . Molte di esse, ha riferito il ricercatore, sono talmente di bassa levatura da poterle trovare come esempi nei libri che trattano la ricerca di vulnerabilità nel software: tra le più banali si possono trovare la scelta deliberata di non utilizzare SSL , problemi di buffer overflow e l’utilizzo della funzione strcpy() , evitata oggigiorno dalla stragrande maggioranza degli sviluppatori perché intrinsecamente insicura ma usata praticamente sempre da Samsung. Non per nulla, Neiderman ha infatti anche dichiarato che quello di Tizen potrebbe essere il codice peggiore che abbia mai visto , augurandosi che questo non venga rilasciato su telefoni di fascia più alta come i Samsung Galaxy a meno di “importanti” revisioni.
Everybody focused on the rules… but what about the footer? #TheSAS2017 pic.twitter.com/cJKgaGeFwI
– Amihai Neiderman (@AAAAAAmihai) 6 aprile 2017
Il quadro che ne risulta appare quindi sconcertante, soprattutto se si considera che a fine 2016 Samsung stessa ha dichiarato che Tizen era presente su più di 50 milioni di dispositivi e che avrebbe avuto sul mercato altri 10 milioni di telefoni Tizen-powered nel 2017.
Pochi giorni fa, infine, Samsung ha fatto sapere tramite un portavoce di “avere particolarmente a cuore la sicurezza e la privacy” e di essere in contatto con Neiderman per mitigare le vulnerabilità riscontrate, oltre a sottolineare il fatto di aver istituito un proprio SmartTV Bug Bounty Program , il quale si prefigge l’obiettivo di migliorare il codice presente sui dispositivi Samsung grazie alle scoperte dei ricercatori di sicurezza sparsi nel globo.
Niccolò Castoldi