Tizen is het besturingssyteem dat Samsung gebruikt voor haar televisies, wearables en andere slimme toepassingen. Op dit moment nog voornamelijk in televisies, koelkasten, wearables en enkele smartphones, maar in de toekomst mogelijk in elk IoT-apparaat. Uiteraard is het van belang dat de besturing feilloos gebeurt. Mede gezien de recente problemen bij Samsung op gebied van veiligheid zijn er diverse bedrijven die de broncode zijn gaan bestuderen. Dit blijkt niet voor niets. In april werd de code door een beveiligingsonderzoeker al bestempeld als de ‘slechtste ooit gezien’ en nu claimt het bedrijf ‘Program Verification Systems’ (PVS) uit Rusland na analyse van 3,3 procent van de code al 900 bugs te hebben gevonden. Extrapolerend stelt het bedrijf dat er in totaal liefst 27.000 bugs te verwachten zijn. Samsung reageert vooralsnog lauw.
Wat is het motief van PVS om de claim over deze bugs naar buiten te brengen?
Topman Andrey Karpov van PVS licht in dit blog de 27.000 bugs toe. Ook licht hij toe waarom hij hiermee naar buiten komt. Hij geeft aan dat hij met Samsung in gesprek wilde over zijn ontdekking maar dat Samsung dit gesprek uitstelde. De werkelijkheid is iets genuanceerder. PVS kreeg aandacht voor Tizen doordat Samsung bekend maakte 10 miljoen dollar te investeren in tools die bugs opsporen. Deze investering heeft Samsung gedaan bij de Russian Academy of Sciences. Naar aanleiding van dit bericht heeft PVS een deel van de code van Tizen getoetst met hun eigen programma’s en de 900 bugs gevonden. Vervolgens heeft PVS contact opgenomen met Samsung en geprobeerd een opdracht van hen te krijgen. Ook is geprobeerd Samsung te interesseren voor de koop van het hele bedrijf. Pas toen Samsung afwijzend reageerde heeft PVS de zaak alsnog naar buiten gebracht.
De melding van PVS is dus ten eerste gedaan uit eigen belang. Daarnaast is de Russian Academy of Sciences een concurrent van PVS. Door nu een zeer hoog aantal bugs te noemen, wordt de lat voor de concurrent hoog gelegd. Immers, als er na inzet van de Russian Academy of Sciences een aantal bugs overblijft ligt een ‘I told you so’ van PVS voor de hand.
Waarom reageert Samsung lauw?
Samsung blijft redelijk laconiek onder de claim van PVS. Allereerst stelt ze dat de gevonden bugs niet zo maar geëxtrapoleerd kunnen worden. Daarnaast stelt Samsung al een deel van de bugs te hebben verholpen. De overige bugs zouden onbelangrijke details bevatten. Tot slot stelt Samsung met de Russian Academy of Sciences een goede partij in huis te hebben en bekend te zijn met het feit dat andere software andere bugs kan vinden.
Karpov sluit zijn blog af met de volgende zin: “Get some coffee and cookies, as there is a long programmer thriller waiting for us.”
8 uur geleden
