广州全一信息科技有限公司

通过军C+,国密局等多项认证
兼容性,稳定性好,数十万客户信赖!

广东省公安厅认证信息安全服务机构

服务热线: 139-2212-9991

示例图片三
网站首页 > 新闻资讯 > 业界资讯

三星敏感源代码泄露,将影响一亿用户

2019-05-13 15:41:50 广州全一信息科技有限公司 已读

据报道,三星SmartThings等应用程序的敏感源代码和密钥遭到泄露,储存的AWS账户、日志、分析数据等被公开。

多个敏感源代码泄露
SpiderSilk安全研究员发现了暴露的文件,一个项目包含的凭据允许访问正在使用的整个AWS账户,这其中包括100多个包含日志和分析数据的S3存储库。

发现问题后,SpiderSilk第一时间将情况上报了三星。三星则回复称,泄露的文件有些只是用于内部测试,不会影响到实际的用户体验。

对此,安全研究员持反对态度。他称,上述泄露的文件内容中,包含了以明文形式存储的几个员工私有GitLab令牌被暴露,这使得攻击者能够从42个公共项目获得额外的访问权限到135个项目,这其中就包括许多私人项目。

“更令人担心的是,这些文件让我拥有了几个内部员工的私人令牌。我完全可以用它访问GitLab上的全部135个项目,我甚至可以随意修改账户代码,让其变成我的东西。”

三星敏感源代码泄露,将影响一亿用户

SmartThings应用或受牵连
三星在GitLab上留下了数十个内部编码项目实例托管在三星拥有的域名Vandev Lab上,工作人员在这里分享和贡献各种三星应用程序。因为项目被设置为“公共”并且没有用密码正确保护,因此允许任何人查看每个项目,访问并下载源代码。而在这些被暴露的GitLab实例中,还包含了三星SmartThings的iOS和Android应用程序的私有证书。

“在这些被暴露的文件的文件夹中找到了包含三星SmartThings和Bixby服务的日志以及分析数据。我还在暴露的文件中发现了几个内部文档和幻灯片。所以,真正的威胁在于攻击者有可能获得对应用程序源代码的访问权限,并在公司不知情的情况下向其注入恶意代码。”

SpiderSilk分析,目前在已经泄露的存储库中已经记录了大量访问,如果被恶意行为者获得可能是“灾难性的”后果。

尽管三星称被泄露内容只用于内部测试,但安全研究员发现,实际上被泄露的GitLab存储库中的源代码包含与Android相同的代码,而该应用程序于4月10日在Google Play上发布。目前,该应用程序已更新多次,迄今安装量超过一亿。这里的应用程序,很可能指的就是基于iOS和安卓的SmartThings客户端。这是三星为智能家居和消费者物联网构建的开放平台。其构建了集线器,云平台和客户端应用程序,是目前智能家居设备的连接解决方案。

三星发言人表示:目前已经针对上报情况做了处理,但目前仍正在对此进行进一步调查。”


数控车床加工 通风降温设备 Navicat 节能环保空调 广州租车公司 彩色复印机出租 赣州通风降温设备 服务器数据恢复 金蝶软件 ee域名 优科无线ap 网站目录