三星多個內部項目敏感源代碼泄露，或影響一億用戶

“你要是像三星那么會作，早都成網紅了！”

宅宅一想，說的嘚：三星這兩年的確有點兒背，先是S7爆炸門兩天蒸發市值200億美元，再是折疊屏手機被曝質量不過關不得不延期發售日期。

都說人倒霉了喝水都噻牙縫，看來廠商也一樣。這不，趁著老哥點兒背，黑客也給來了個回首~掏：

據Techcrunch報道，SpiderSilk發現三星SmartThings等應用程序的敏感源代碼和密鑰遭到泄露，儲存的AWS賬戶、日志、分析數據等被公開。

神補刀......

多個敏感源代碼泄露

SpiderSilk安全研究員Mossab Hussein發現了暴露的文件，一個項目包含的憑據允許訪問正在使用的整個AWS賬戶，這其中包括100多個包含日志和分析數據的S3存儲庫。

發現問題后，SpiderSilk第一時間將情況上報了三星。三星則回復稱，泄露的文件有些只是用于內部測試，不會影響到實際的用戶體驗。

對此，Hussein持反對態度。他稱，上述泄露的文件內容中，包含了以明文形式存儲的幾個員工私有GitLab令牌被暴露，這使得攻擊者能夠從42個公共項目獲得額外的訪問權限到135個項目，這其中就包括許多私人項目。

“更令人擔心的是，這些文件讓我擁有了幾個內部員工的私人令牌。我完全可以用它訪問GitLab上的全部135個項目，我甚至可以隨意修改賬戶代碼，讓其變成我的東西。”

SmartThings應用或受牽連

那么，此次事件會不會影響到消費者呢？

Hussein稱，三星在GitLab上留下了數十個內部編碼項目實例托管在三星擁有的域名Vandev Lab上，工作人員在這里分享和貢獻各種三星應用程序。因為項目被設置為“公共”并且沒有用密碼正確保護，因此允許任何人查看每個項目，訪問并下載源代碼。

而在這些被暴露的GitLab實例中，還包含了三星SmartThings的iOS和Android應用程序的私有證書。Hussein分享了幾個屏幕截圖和他發現的視頻，供TechCrunch檢查和驗證。

公開的AWS憑證的屏幕截圖，允許使用GitLab私有令牌訪問存儲庫

“我在這些被暴露的文件的文件夾中找到了包含三星SmartThings和Bixby服務的日志以及分析數據。我還在暴露的文件中發現了幾個內部文檔和幻燈片。所以，真正的威脅在于攻擊者有可能獲得對應用程序源代碼的訪問權限，并在公司不知情的情況下向其注入惡意代碼?！?/p>

SpiderSilk分析，目前在已經泄露的存儲庫中已經記錄了大量訪問，如果被惡意行為者獲得可能是“災難性的”后果。

盡管三星稱被泄露內容只用于內部測試，但Hussein發現，實際上被泄露的GitLab存儲庫中的源代碼包含與Android相同的代碼，而該應用程序于4月10日在Google Play上發布。目前，該應用程序已更新多次，迄今安裝量超過一億。

這里的應用程序，很可能指的就是基于iOS和安卓的SmartThings客戶端。這是三星為智能家居和消費者物聯網構建的開放平臺。其構建了集線器，云平臺和客戶端應用程序，是目前智能家居設備的連接解決方案。

Hussein稱，三星的數據泄漏是我迄今為止最大的發現，我沒有看到過有公司使用這種奇怪的做法來處理他們的基礎設施。另一邊，在接下來的幾天里三星開始撤銷AWS憑證，但不知道剩余的密鑰和證書是否已被撤銷。

三星發言人扎克·杜根(Zach Dugan)表示：目前已經針對上報情況做了處理，但目前仍正在對此進行進一步調查?！?/p>

參考來源：Techcrunch雷鋒網雷鋒網雷鋒網

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。