0
“你要是像三星那么會作,早都成網紅了!”
宅宅一想,說的嘚:三星這兩年的確有點兒背,先是S7爆炸門兩天蒸發市值200億美元,再是折疊屏手機被曝質量不過關不得不延期發售日期。
都說人倒霉了喝水都噻牙縫,看來廠商也一樣。這不,趁著老哥點兒背,黑客也給來了個回首~掏:
據Techcrunch報道,SpiderSilk發現三星SmartThings等應用程序的敏感源代碼和密鑰遭到泄露,儲存的AWS賬戶、日志、分析數據等被公開。
神補刀......
多個敏感源代碼泄露
SpiderSilk安全研究員Mossab Hussein發現了暴露的文件,一個項目包含的憑據允許訪問正在使用的整個AWS賬戶,這其中包括100多個包含日志和分析數據的S3存儲庫。
發現問題后,SpiderSilk第一時間將情況上報了三星。三星則回復稱,泄露的文件有些只是用于內部測試,不會影響到實際的用戶體驗。
對此,Hussein持反對態度。他稱,上述泄露的文件內容中,包含了以明文形式存儲的幾個員工私有GitLab令牌被暴露,這使得攻擊者能夠從42個公共項目獲得額外的訪問權限到135個項目,這其中就包括許多私人項目。
“更令人擔心的是,這些文件讓我擁有了幾個內部員工的私人令牌。我完全可以用它訪問GitLab上的全部135個項目,我甚至可以隨意修改賬戶代碼,讓其變成我的東西。”
SmartThings應用或受牽連
那么,此次事件會不會影響到消費者呢?
Hussein稱,三星在GitLab上留下了數十個內部編碼項目實例托管在三星擁有的域名Vandev Lab上,工作人員在這里分享和貢獻各種三星應用程序。因為項目被設置為“公共”并且沒有用密碼正確保護,因此允許任何人查看每個項目,訪問并下載源代碼。
而在這些被暴露的GitLab實例中,還包含了三星SmartThings的iOS和Android應用程序的私有證書。Hussein分享了幾個屏幕截圖和他發現的視頻,供TechCrunch檢查和驗證。
公開的AWS憑證的屏幕截圖,允許使用GitLab私有令牌訪問存儲庫
“我在這些被暴露的文件的文件夾中找到了包含三星SmartThings和Bixby服務的日志以及分析數據。我還在暴露的文件中發現了幾個內部文檔和幻燈片。所以,真正的威脅在于攻擊者有可能獲得對應用程序源代碼的訪問權限,并在公司不知情的情況下向其注入惡意代碼。”
SpiderSilk分析,目前在已經泄露的存儲庫中已經記錄了大量訪問,如果被惡意行為者獲得可能是“災難性的”后果。
盡管三星稱被泄露內容只用于內部測試,但Hussein發現,實際上被泄露的GitLab存儲庫中的源代碼包含與Android相同的代碼,而該應用程序于4月10日在Google Play上發布。目前,該應用程序已更新多次,迄今安裝量超過一億。
這里的應用程序,很可能指的就是基于iOS和安卓的SmartThings客戶端。這是三星為智能家居和消費者物聯網構建的開放平臺。其構建了集線器,云平臺和客戶端應用程序,是目前智能家居設備的連接解決方案。
Hussein稱,三星的數據泄漏是我迄今為止最大的發現,我沒有看到過有公司使用這種奇怪的做法來處理他們的基礎設施。另一邊,在接下來的幾天里三星開始撤銷AWS憑證,但不知道剩余的密鑰和證書是否已被撤銷。
三星發言人扎克·杜根(Zach Dugan)表示:目前已經針對上報情況做了處理,但目前仍正在對此進行進一步調查。”
參考來源:Techcrunch雷鋒網雷鋒網雷鋒網
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
