Tizenには多くのセキュリティ問題があるという指摘 34
ストーリー by hylom
どうしてこうなった 部門より
どうしてこうなった 部門より
Androidと競合するLinuxベースのスマートデバイス向けOS「Tizen」はセキュリティ的に多くの問題を抱えているとの話が出ている(MOTHERBOARD、FOSSBYTES)。
このたびイスラエルの研究者らがTizenに40もの未公開のセキュリティ問題が存在すると指摘。さらにそのソースコードについて研究者は「今まで見た中で最悪のコードだ」と評している。外部から任意のコードを実行させるような深刻な脆弱性もあるそうだ。さらに、 SamsungがTizen向けに提供しているアプリストア「TizenStore」を利用するためのアプリケーションにも脆弱性があり、本来Samsungの審査を受けたアプリのみがインストール可能であるにも関わらず、脆弱性を付くことでそうでないソフトウェアもインストールできてしまうそうだ。
TizenはLinux Foundation傘下で進められているプロジェクトで、Samsungが採用に積極的な姿勢を見せている。すでに新興国向けスマートフォンなどでの採用例もある。
セキュリティ的に多くの問題 (スコア:2, おもしろおかしい)
いや一番大きな問題はそこじゃないのでは?
というかまだ生きていたのか!
Re:セキュリティ的に多くの問題 (スコア:2, 興味深い)
Tizen Mobile / Tizen Wearable / Tizen TV ってみんな Tizen ついてるから、制限はあっても開発知識や経験は活かせる部分があるだろうとか、ある程度似てるOSだろうって思うじゃん。
共通項は、Tizen って名前と SDK が一緒に配布されてるってぐらいだから。
Tizen Mobile は HTML+JavaScript とネイティブアプリは C++
Tizen Wearable は HTML+JavaScript のみ、2.3.1 になってネイティブアプリ書けるようになったが C++ではなくC
もちろん 互換性なし、APIの名前が似てるってレベルですらない。そもそもアプリのライフサイクルや、このプラットホームにおけるアプリとはどういうものかっていう哲学の時点でも根本的に違ってる。
HTML+JavaScript の部分は共通に見えるけど、共通な部分は Chromeで開いても動くレベルの共通部分で OS提供のオブジェクトには共通項と言える部分はない。
なぜか Tizen向けのアプリ開発やってる人間からのグチです。
Re: (スコア:0)
はぁ、そういうものなんだ。TVやIVIも全く違うの?
ってかTIZEN IVIを使おうとしているところってあるんかいなw
Re: (スコア:0)
> いや一番大きな問題はそこじゃないのでは?
一番大きな問題だとは書かれてないと思うけど、ついでだから訊いとくけど一番大きな問題って何?
Re: (スコア:0)
使う人がいないこと
Re:セキュリティ的に多くの問題 (スコア:1)
せっかく切り込み隊長ことやまもといちろうが一押ししていたのに、
なんてだらしない結果となってしまったんだ(まちなさい
# しまった(゚∀゚) ! だらしない、は一部では褒め言葉になってしまう
Re: (スコア:0)
爆発スマホメーカーが関わってること
Re: (スコア:0)
Re: (スコア:0)
きのこる先生!!
Re: (スコア:0)
SAMSUNGのスマートTV用OSに使われている [techradar.com]から、
ますます居場所が拡大している。
依然、SAMSUNGは液晶TVの世界トップシェアメーカー [statista.com]だしな。
SAMSUNGのスマートウォッチもTIZEN OSだ。
SAMSUNGはTIZENを自社製のスマート家電に全般のOSにするつもりのようだけど、
そ
Re: (スコア:0)
潘基文前世界大統領が、大量に世界政府に持ち込んだとか云うTVに、どれだけNSA・CIA・FBI辺りが利用しそうなセキュリティーホールを抱えたTIZEN OSが組み込まれているの?
うそつくな (スコア:2)
> Androidと競合するOS「Tizen」
まったく競合してない。影響ゼロ。むしろ相対的にAndroidの良さが際立つレベル。
最近よく見るな…うん? (スコア:1)
Ryzenと空目した人は手を上げて下さい
ノ
Re:最近よく見るな…うん? (スコア:1)
ノ
ググりましたよ、ええorz
東洋人はOSを作るのが苦手なのか (スコア:0)
Samsungはそれなりに開発力のある企業と思うんだけど
それとも単にOSが難しい、ってこと?
Re: (スコア:0)
単に寄せ集めのコードだから品質低いだけだろ。
何回名前変わったか覚えられないくらい転々としているプロジェクトだから。
Re: (スコア:0)
本記事には書いてあるけど脆弱性のほとんどは、この2年以内に書かれた新しいコードにあるらしいよ
Re: (スコア:0)
ふーん、じゃあ最近のコードマネジメントの問題か。2年で40件は単独犯じゃないよね。
たった2年で「今までで最悪」と言わせるほど書き換えられるとはある意味すごい。
Re: (スコア:0)
2年で40件なら一人の無頓着なプログラマーが「やらかした」分としては妥当なんじゃない?
SAMSUNGが質の悪いプログラマーを雇っちまったというところか。
Re: (スコア:0)
コードレビューしてない、もしくはしてても見つけられないってことはやっぱり単独犯ではないと思う。
法則発動 (スコア:0)
関わっちゃダメ
汝らの中でstrcpy()を使ったことのないものだけが、まず石を投げなさい (スコア:0)
Tizenにはメモリ内のデータを複製する「Strcpy ()」という関数が使われていますが、 [gigazine.net]
データを書き込むのに十分な領域が確保されているのかをチェックすることができないという基本的な欠陥があるとのこと。
このため、攻撃者は意図的にバッファーオーバーラン状態を作り出せてしまうとネイダーマン氏は指摘しています。
ちなみにネイダーマン氏によると、今ではこの機能を使うプログラマーはいないそうですが、
Tizenのコード内ではそこら中にあふれている状況だそうです。
そこのあなた、「どきっ」としませんでしたか?w
しかし、最近はこういう単純な「やらかし」をあぶりだす、コードの安全性検証ツールやサービスがいくらでもあると思うんだが、
メーカーはそういうものを使ってコードを精査とかしないもんなのかね。
Re: (スコア:0)
ANSI-Cを大学の授業で強制された為、strcpy()を使う羽目になったことはあります。
実際のツールを作るときは全く使っていません。
で、石投げていいですか?
Re: (スコア:0)
TCHARマクロをベースにしてたので、_tcscpy なら使った事あります。
石投げていいですよね(冗談
Re: (スコア:0)
言語の選定から駄目
Re: (スコア:0)
Linuxベースなんだから、そこは仕方あるまい。
Re: (スコア:0)
.NET Core
Re: (スコア:0)
何故記事にある頭文字が大文字のStrcpy()ではなく、strcpy()が槍玉に上がっているのですか?
Re: (スコア:0)
元記事 [vice.com]に"strcpy()"と書かれているからな。
その記事でも、文の頭にその語が来るときは、"Strcpy()"と書かれている。
One example he cites is the use of strcpy() in Tizen. "Strcpy()" is a function for replicating data in memory.
つまり記事を書いたやつは、プログラミング言語には全然詳しくない、無頓着な文系記者だということだ。
typo (スコア:0)
- 脆弱性を付く
+ 脆弱性を突く
Re: (スコア:0)
今更宗教戦争もないと思うけどどうなんだろ。
世界が終わる日まで争うのかもしれんが・・・