Samsung пролил исходный код приложения SmartThings и секретные ключи

Лаборатория разработки, используемая инженерами Samsung, выпускала высокочувствительный исходный код, учетные данные и секретные ключи для нескольких внутренних проектов, в том числе для платформы SmartThings, обнаружил исследователь безопасности.

Гигант электроники оставил десятки проектов внутреннего кодирования на экземпляре GitLab, размещенном на принадлежащем Samsung домене Vandev Lab. Экземпляр, используемый сотрудниками для обмена и добавления кода в различные приложения, сервисы и проекты Samsung, передавал данные, потому что проекты были настроены как «общедоступные» и не были должным образом защищены паролем, что позволяло любому заглянуть внутрь каждого проекта, получить доступ и загрузите исходный код.

Моссаб Хуссейн, исследователь безопасности в дубайской фирме SpiderSilk по кибербезопасности, обнаруживший открытые файлы, сказал, что один проект содержит учетные данные, которые обеспечивают доступ ко всей используемой учетной записи AWS, включая более 100 хранилищ S3, которые содержат журналы и аналитические данные. ,

По его словам, многие из папок содержали журналы и аналитические данные для сервисов Samsung SmartThings и Bixby, а также открытые личные маркеры GitLab нескольких сотрудников, хранящиеся в виде открытого текста, что позволило ему получить дополнительный доступ из 42 общедоступных проектов к 135 проектам, в том числе многим. частные проекты.

Samsung сказал ему, что некоторые файлы предназначены для тестирования, но Хусейн оспорил это утверждение, заявив, что исходный код, найденный в репозитории GitLab, содержит тот же код, что и приложение Android, опубликованное в Google Play 10 апреля.

Приложение, которое с тех пор было обновлено, на сегодняшний день имеет более 100 миллионов установок.

Смотрите так же

Как Удалить Телефон Из Черного Списка Samsung... Мысль сотворения блэклиста в мобильных телефонах "Самсунг" перечня хороша. Если кто-то наскучивает своими звонками, отлично иметь возможност...
Эти новые просочившиеся фотографии — наш луч... Эти новые просочившиеся фотографии - наш лучший взгляд на неизданную Galaxy Note 10 от Samsung Сейчас мы находимся в напряженной обстановке, фанаты S...
Как Снять Клавиатуру С Ноутбука Samsung Np300e5a... Внешний облик Самсунг NP300E5A-A01RU # Не всем экономным ноутбукам дизайнеры уделяют подабающее внимание, если и уделяют, итог обычно остается максим...

«У меня был личный токен пользователя, который имел полный доступ ко всем 135 проектам на этом GitLab». сказал он, что могло позволить ему вносить изменения в код, используя собственную учетную запись сотрудника.

Хуссейн поделился несколькими скриншотами и видео своих находок для TechCrunch для проверки и проверки.

Открытый экземпляр GitLab также содержал частные сертификаты для приложений Samsung SmartThings для iOS и Android.

Хусейн также нашел несколько открытых документов и слайд-шоу среди открытых файлов.

«Настоящая угроза заключается в том, что кто-то может получить этот уровень доступа к исходному коду приложения и внедрить в него вредоносный код без ведома компании». сказал он.

С помощью открытых секретных ключей и токенов Хуссейн задокументировал огромный объем доступа, который, если бы он был получен злоумышленником, мог быть «катастрофическим», сказал он.

Снимок экрана: открытые учетные данные AWS, позволяющие получить доступ к корзинам с личными токенами GitLab (изображение: прилагается)

Samsung пролил исходный код приложения SmartThings и секретные ключи

Смотрите так же

Как Установить Звонок На Телефон Самсунг... На всех телефонах, работающих на базе ОС Android, предусмотрена возможность установки на какой угодно контакт из телефонной книжки фото вызывающего но...
Как Подключить Наушники К Телевизору Самсунг Смарт... Как я сообразил, это линейный выход, уровень сигнала у которого не усилишьЕдинственный выход. сконнектить с беспроводными наунниками. Виталик, если дл...
Заявленный ценник Samsung Galaxy A10s просочился в... Samsung Galaxy A10s станет обновлением по сравнению с Galaxy A10. Ожидается, что Galaxy A10s скоро появится в Индии. Samsung Galaxy A10s будет ра...

Хуссейн, хакер в белой шляпе и обнаружитель взлома данных, сообщил Samsung о результатах 10 апреля. В последующие дни Samsung начала отзывать учетные данные AWS, но неизвестно, были ли аннулированы оставшиеся секретные ключи и сертификаты.

Samsung до сих пор не закрыл дело об уязвимости Хусейна, примерно через месяц после того, как он впервые раскрыл проблему.

«Недавно один из исследователей в области безопасности сообщил об уязвимости в рамках нашей программы вознаграждений за безопасность в отношении одной из наших платформ тестирования». заявил представитель Samsung Зак Дуган в интервью TechCrunch перед публикацией. «Мы быстро отозвали все ключи и сертификаты для платформы тестирования, о которой сообщалось, и, хотя нам еще предстоит найти доказательства того, что произошел какой-либо внешний доступ, в настоящее время мы исследуем это дополнительно».

Хусейн сказал, что Samsung потребовал до 30 апреля, чтобы отозвать закрытые ключи GitLab. Samsung также отказалась отвечать на конкретные вопросы, которые у нас были, и не предоставила доказательств того, что принадлежащая Samsung среда разработки предназначена для тестирования.

Хуссейн не привыкать сообщать об уязвимостях в безопасности. Недавно он раскрыл уязвимую внутреннюю базу данных в Blind, анонимном сайте социальной сети, популярном среди сотрудников Силиконовой долины, и обнаружил, что на сервере есть утечка скользящего списка паролей пользователей для гиганта научного журнала Elsevier.

По его словам, утечка данных Samsung была его самой большой находкой на сегодняшний день.

«Я не видел такой большой компании, которая бы управляла своей инфраструктурой, используя такие странные методы». сказал он.

Смотрите так же

Samsung Galaxy S10 поставляется с AR Emojis, как в... Хотя некоторые операторы уже начали поставки устройств Galaxy S10 в Соединенных Штатах, телефон не появится на полках до пятницы. Но когда это произой...
По сообщениям, началось развертывание обновления д... По сообщениям, началось развертывание обновления для Samsung Galaxy J8 Android Pie Samsung Galaxy J8 был запущен в прошлом году Началось развертыван...
Амазонка Сладкий Снижение цен на Умные часы Samsun... Вы можете сказать больше, чем время с гладкими умными часами Samsung Gear S2. Gear S2 обладает полным набором характеристик и имеет круглую форму и се...