Brakuje wszystkiego. Samsungowi skradziono kod źródłowy przyszłych rozwiązań

11 May 2019, 11:04 Ten materiał jest dostępny również w języku ukraińskim

Laboratorium rozwojowe Samsunga przypadkowo otworzyło dostęp do kodu źródłowego, danych uwierzytelniających i tajnych kluczy dla kilku wewnętrznych projektów, w tym SmartThings

.

Elektroniczny gigant pozostawił dziesiątki wewnętrznych projektów kodowania na GitLab oznaczonych jako "publicznie dostępne", pisze TechCrunch

.

Usługa, która była używana przez pracowników do dzielenia się i dodawania kodu do różnych aplikacji, usług i projektów firmy Samsung, została przekazana, ponieważ projekty nie były odpowiednio chronione hasłem, co pozwalało każdemu zajrzeć do każdego projektu, uzyskać dostęp i pobrać kod źródłowy.

Mossab Hussain, badacz bezpieczeństwa z dubajskiej firmy SpiderSilk, który odkrył otwarte pliki, powiedział, że jeden projekt zawierał dane uwierzytelniające, które pozwalały na dostęp do całego konta AWS w użyciu, w tym ponad 100 sklepów S3, które zawierały logi i dane analityczne.

Wiele z folderów zawierało logi i analizy dla usług SmartThings i Bixby firmy Samsung, jak powiedział, a także otwarte osobiste tokeny GitLab kilku pracowników przechowywane jako zwykły tekst, co pozwoliło mu na dodatkowy dostęp z 42 publicznie dostępnych projektów do dodatkowych 135 projektów.

Przedstawiciele Samsunga zapewniają, że niektóre z plików służą do testów, ale Hussein zakwestionował to twierdzenie, mówiąc, że kod źródłowy znaleziony w repozytorium GitLab zawiera ten sam kod, co aplikacja na Androida opublikowana w Google Play 10 kwietnia.

Aplikacja, która od tego czasu została zaktualizowana, ma obecnie ponad 100 milionów instalacji.

"Miałem osobisty token użytkownika, który miał pełny dostęp do wszystkich 135 projektów na tym GitLabie" - powiedział Mossab Hussain, dodając, że mogło to pozwolić mu na dokonywanie zmian w kodzie przy użyciu własnego konta pracowniczego.

"Prawdziwym zagrożeniem jest to, że ktoś może uzyskać taki poziom dostępu do kodu źródłowego aplikacji i wstrzyknąć do niej złośliwy kod bez wiedzy firmy" - powiedział.

Samsung potwierdził znalezioną lukę i podjął już kroki w celu jej naprawienia. Jednak prawie miesiąc po tym, jak Mossab Hussein po raz pierwszy ujawnił problem, dochodzenie nadal trwa.

Zapisz się na
Techno
Daily e-mail newsletter o
tym, jak technologia zmienia świat
Zapisz się
codziennie o 17:00 Redaktor: Anton Khodorenko