上个月,人们发现三星拥有的Vandev Lab的GitLab实例没有用密码保护其项目。 因此,针对各种三星应用程序,服务和项目的数十个内部编码项目被公开,这反过来提供了对三星项目的进一步访问,包括其流行的智能家居生态系统SmartThings。
如果没有使用密码正确保护项目,它使任何人都能够查看源代码,下载或甚至进行更改。
一位来自SpiderSilk的安全研究员Mossab Hussein在4月10日发现了安检失误并向三星报告。 在他的调查结果中,他可以访问整个AWS账户,包括一百多个包含日志和分析数据的S3存储桶。
日志和分析涵盖三星产品,如SmartThings和Bixby服务,以及几个员工的私人GitLab令牌,纯文本。 通过使用这些令牌,Hussein能够访问45到135个公共和私人项目。
当他联系三星时,Hussein被告知其中一些文件是用于测试的,但他很快指出当前版本的Android SmartThings应用程序的源代码存在。 但是,自应用以来,该应用已更新。
这种访问中最危险的部分是,使用GitLab令牌,Hussein本可以更改三星的代码。 他说:
真正的威胁在于有人获得对应用程序源代码的这种访问级别的可能性,并且在公司不知情的情况下向其注入恶意代码。
在Hussein与三星联系后几天撤销了AWS凭证,但尚未验证密钥和证书是否得到了类似的处理。 就像现在一样,三星在首次报道后差不多一个月仍没有关闭漏洞报告。 然而,当被要求发表评论时,三星发言人Zach Dugan回答说:
我们很快撤销了所报告的测试平台的所有密钥和证书,虽然我们尚未找到任何外部访问发生的证据,但我们正在进一步调查此问题。
根据Hussein的说法,GitLab私钥被撤销到4月30日,他被引用说:“我没有看到这样一家公司使用这种奇怪的做法来处理他们的基础设施。” 当TechCrunch询问有关该事件的具体问题,或者仅仅针对测试环境的证据时,三星拒绝了。
这只是当技术进入我们生活的各个方面时,适当的安全实践如何变得越来越重要的另一个例子。
Google Nest Hub Max动手实践:智能家居的一体化产品
我们可能会使用我们的链接获得购买佣金。 学到更多。
