據(jù)報(bào)道，三星SmartThings等應(yīng)用程序的敏感源代碼和密鑰遭到泄露，儲(chǔ)存的AWS賬戶、日志、分析數(shù)據(jù)等被公開。

多個(gè)敏感源代碼泄露
SpiderSilk安全研究員發(fā)現(xiàn)了暴露的文件，一個(gè)項(xiàng)目包含的憑據(jù)允許訪問正在使用的整個(gè)AWS賬戶，這其中包括100多個(gè)包含日志和分析數(shù)據(jù)的S3存儲(chǔ)庫(kù)。

發(fā)現(xiàn)問題后，SpiderSilk第一時(shí)間將情況上報(bào)了三星。三星則回復(fù)稱，泄露的文件有些只是用于內(nèi)部測(cè)試，不會(huì)影響到實(shí)際的用戶體驗(yàn)。

對(duì)此，安全研究員持反對(duì)態(tài)度。他稱，上述泄露的文件內(nèi)容中，包含了以明文形式存儲(chǔ)的幾個(gè)員工私有GitLab令牌被暴露，這使得攻擊者能夠從42個(gè)公共項(xiàng)目獲得額外的訪問權(quán)限到135個(gè)項(xiàng)目，這其中就包括許多私人項(xiàng)目。

“更令人擔(dān)心的是，這些文件讓我擁有了幾個(gè)內(nèi)部員工的私人令牌。我完全可以用它訪問GitLab上的全部135個(gè)項(xiàng)目，我甚至可以隨意修改賬戶代碼，讓其變成我的東西。”

SmartThings應(yīng)用或受牽連
三星在GitLab上留下了數(shù)十個(gè)內(nèi)部編碼項(xiàng)目實(shí)例托管在三星擁有的域名Vandev Lab上，工作人員在這里分享和貢獻(xiàn)各種三星應(yīng)用程序。因?yàn)轫?xiàng)目被設(shè)置為“公共”并且沒有用密碼正確保護(hù)，因此允許任何人查看每個(gè)項(xiàng)目，訪問并下載源代碼。而在這些被暴露的GitLab實(shí)例中，還包含了三星SmartThings的iOS和Android應(yīng)用程序的私有證書。

“在這些被暴露的文件的文件夾中找到了包含三星SmartThings和Bixby服務(wù)的日志以及分析數(shù)據(jù)。我還在暴露的文件中發(fā)現(xiàn)了幾個(gè)內(nèi)部文檔和幻燈片。所以，真正的威脅在于攻擊者有可能獲得對(duì)應(yīng)用程序源代碼的訪問權(quán)限，并在公司不知情的情況下向其注入惡意代碼?！?/p>

SpiderSilk分析，目前在已經(jīng)泄露的存儲(chǔ)庫(kù)中已經(jīng)記錄了大量訪問，如果被惡意行為者獲得可能是“災(zāi)難性的”后果。

盡管三星稱被泄露內(nèi)容只用于內(nèi)部測(cè)試，但安全研究員發(fā)現(xiàn)，實(shí)際上被泄露的GitLab存儲(chǔ)庫(kù)中的源代碼包含與Android相同的代碼，而該應(yīng)用程序于4月10日在Google Play上發(fā)布。目前，該應(yīng)用程序已更新多次，迄今安裝量超過一億。這里的應(yīng)用程序，很可能指的就是基于iOS和安卓的SmartThings客戶端。這是三星為智能家居和消費(fèi)者物聯(lián)網(wǎng)構(gòu)建的開放平臺(tái)。其構(gòu)建了集線器，云平臺(tái)和客戶端應(yīng)用程序，是目前智能家居設(shè)備的連接解決方案。

三星發(fā)言人表示：目前已經(jīng)針對(duì)上報(bào)情況做了處理，但目前仍正在對(duì)此進(jìn)行進(jìn)一步調(diào)查?！?/p>

ice

收藏 海報(bào)分享