パスワードを忘れた? アカウント作成
13224347 story
Android

Tizenには多くのセキュリティ問題があるという指摘 34

ストーリー by hylom
どうしてこうなった 部門より

Androidと競合するLinuxベースのスマートデバイス向けOS「Tizen」はセキュリティ的に多くの問題を抱えているとの話が出ている(MOTHERBOARDFOSSBYTES)。

このたびイスラエルの研究者らがTizenに40もの未公開のセキュリティ問題が存在すると指摘。さらにそのソースコードについて研究者は「今まで見た中で最悪のコードだ」と評している。外部から任意のコードを実行させるような深刻な脆弱性もあるそうだ。さらに、 SamsungがTizen向けに提供しているアプリストア「TizenStore」を利用するためのアプリケーションにも脆弱性があり、本来Samsungの審査を受けたアプリのみがインストール可能であるにも関わらず、脆弱性を付くことでそうでないソフトウェアもインストールできてしまうそうだ。

TizenはLinux Foundation傘下で進められているプロジェクトで、Samsungが採用に積極的な姿勢を見せている。すでに新興国向けスマートフォンなどでの採用例もある。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年04月11日 6時53分 (#3191375)

    いや一番大きな問題はそこじゃないのでは?
    というかまだ生きていたのか!

    • by Anonymous Coward on 2017年04月11日 12時20分 (#3191543)
      Tizen にセキュリティホールがある/脆弱性がある って言われても どのTizen? って感じなんだけど。

      Tizen Mobile / Tizen Wearable / Tizen TV ってみんな Tizen ついてるから、制限はあっても開発知識や経験は活かせる部分があるだろうとか、ある程度似てるOSだろうって思うじゃん。
      共通項は、Tizen って名前と SDK が一緒に配布されてるってぐらいだから。

      Tizen Mobile は HTML+JavaScript とネイティブアプリは C++
      Tizen Wearable は HTML+JavaScript のみ、2.3.1 になってネイティブアプリ書けるようになったが C++ではなくC
      もちろん 互換性なし、APIの名前が似てるってレベルですらない。そもそもアプリのライフサイクルや、このプラットホームにおけるアプリとはどういうものかっていう哲学の時点でも根本的に違ってる。
      HTML+JavaScript の部分は共通に見えるけど、共通な部分は Chromeで開いても動くレベルの共通部分で OS提供のオブジェクトには共通項と言える部分はない。

      なぜか Tizen向けのアプリ開発やってる人間からのグチです。
      親コメント
      • by Anonymous Coward

        はぁ、そういうものなんだ。TVやIVIも全く違うの?

        ってかTIZEN IVIを使おうとしているところってあるんかいなw

    • by Anonymous Coward

      > いや一番大きな問題はそこじゃないのでは?
      一番大きな問題だとは書かれてないと思うけど、ついでだから訊いとくけど一番大きな問題って何?

    • by Anonymous Coward
      この先生きのこるには、セキュリティ対策が必須ということですね
    • by Anonymous Coward

      SAMSUNGのスマートTV用OSに使われている [techradar.com]から、
      ますます居場所が拡大している。
      依然、SAMSUNGは液晶TVの世界トップシェアメーカー [statista.com]だしな。

      SAMSUNGのスマートウォッチもTIZEN OSだ。
      SAMSUNGはTIZENを自社製のスマート家電に全般のOSにするつもりのようだけど、

      • by Anonymous Coward

        潘基文前世界大統領が、大量に世界政府に持ち込んだとか云うTVに、どれだけNSA・CIA・FBI辺りが利用しそうなセキュリティーホールを抱えたTIZEN OSが組み込まれているの?

  • by epheal (32955) on 2017年04月11日 13時29分 (#3191610)

    > Androidと競合するOS「Tizen」
    まったく競合してない。影響ゼロ。むしろ相対的にAndroidの良さが際立つレベル。

  • by Anonymous Coward on 2017年04月11日 15時22分 (#3191672)

    Ryzenと空目した人は手を上げて下さい

  • by Anonymous Coward on 2017年04月11日 7時13分 (#3191377)

    Samsungはそれなりに開発力のある企業と思うんだけど
    それとも単にOSが難しい、ってこと?

    • by Anonymous Coward

      単に寄せ集めのコードだから品質低いだけだろ。
      何回名前変わったか覚えられないくらい転々としているプロジェクトだから。

      • by Anonymous Coward

        本記事には書いてあるけど脆弱性のほとんどは、この2年以内に書かれた新しいコードにあるらしいよ

        • by Anonymous Coward

          ふーん、じゃあ最近のコードマネジメントの問題か。2年で40件は単独犯じゃないよね。
          たった2年で「今までで最悪」と言わせるほど書き換えられるとはある意味すごい。

          • by Anonymous Coward

            2年で40件なら一人の無頓着なプログラマーが「やらかした」分としては妥当なんじゃない?
            SAMSUNGが質の悪いプログラマーを雇っちまったというところか。

            • by Anonymous Coward

              コードレビューしてない、もしくはしてても見つけられないってことはやっぱり単独犯ではないと思う。

  • by Anonymous Coward on 2017年04月11日 12時57分 (#3191578)

    関わっちゃダメ

  • Tizenにはメモリ内のデータを複製する「Strcpy ()」という関数が使われていますが、 [gigazine.net]
    データを書き込むのに十分な領域が確保されているのかをチェックすることができないという基本的な欠陥があるとのこと。
    このため、攻撃者は意図的にバッファーオーバーラン状態を作り出せてしまうとネイダーマン氏は指摘しています。

    ちなみにネイダーマン氏によると、今ではこの機能を使うプログラマーはいないそうですが
    Tizenのコード内ではそこら中にあふれている状況だそうです。

    そこのあなた、「どきっ」としませんでしたか?w

    しかし、最近はこういう単純な「やらかし」をあぶりだす、コードの安全性検証ツールやサービスがいくらでもあると思うんだが、
    メーカーはそういうものを使ってコードを精査とかしないもんなのかね。

    • by Anonymous Coward

      ANSI-Cを大学の授業で強制された為、strcpy()を使う羽目になったことはあります。
      実際のツールを作るときは全く使っていません。

      で、石投げていいですか?

    • by Anonymous Coward

      TCHARマクロをベースにしてたので、_tcscpy なら使った事あります。
      石投げていいですよね(冗談

    • by Anonymous Coward

      言語の選定から駄目

      • by Anonymous Coward

        Linuxベースなんだから、そこは仕方あるまい。

    • by Anonymous Coward

      何故記事にある頭文字が大文字のStrcpy()ではなく、strcpy()が槍玉に上がっているのですか?

      • by Anonymous Coward

        元記事 [vice.com]に"strcpy()"と書かれているからな。
        その記事でも、文の頭にその語が来るときは、"Strcpy()"と書かれている。

        One example he cites is the use of strcpy() in Tizen. "Strcpy()" is a function for replicating data in memory.

        つまり記事を書いたやつは、プログラミング言語には全然詳しくない、無頓着な文系記者だということだ。

  • by Anonymous Coward on 2017年04月11日 20時04分 (#3191819)

    - 脆弱性を付く
    + 脆弱性を突く

typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...