三星泄露SmartThings应用程序源代码和密钥

 
据悉，三星工程师使用的开发实验室正在泄漏高度敏感的源代码，凭证和几个内部项目的密钥 – 包括安全研究人员发现的SmartThings平台。
这家电子巨头在三星拥有的域名Vandev Lab上托管的GitLab实例上留下了数十个内部编码项目。工作人员用来分享和贡献各种三星应用程序，服务和项目代码的实例正在泄漏数据，因为项目被设置为“公共”并且没有用密码正确保护，允许任何人查看每个项目，访问并下载源代码。
总部位于迪拜的网络安全公司SpiderSilk的安全研究员Mossab Hussein发现了暴露的文件，他说一个项目包含的凭据允许访问正在使用的整个AWS账户，包括100多个包含日志和分析数据的S3存储桶。
他说，许多文件夹包含三星SmartThings和Bixby服务的日志和分析数据，还包括以明文形式存储的几个员工暴露的私有GitLab令牌，这使他能够从42个公共项目获得额外的访问权限到135个项目，包括许多私人项目。
三星告诉他一些文件是用于测试的，但Hussein对这一说法提出质疑，称GitLab存储库中的源代码包含与4月10日在Google Play上发布的Android应用程序相同的代码。
该应用程序已更新，迄今已安装超过1亿。
“我拥有一个用户的私人令牌，可以完全访问该GitLab上的所有135个项目，”他说，这可以让他使用员工自己的帐户进行代码更改。
Hussein分享了几个屏幕截图和他的发现视频，供TechCrunch检查和验证。
暴露的GitLab实例还包含三星SmartThings的iOS和Android应用程序的私有证书。
侯赛因还在暴露的文件中发现了几个内部文档和幻灯片。
“真正的威胁在于有人获得对应用程序源代码的这种访问级别的可能性，并在公司不知情的情况下向其注入恶意代码，”他说。
通过暴露的私钥和令牌，侯赛因记录了大量访问，如果被恶意行为者获得可能是“灾难性的”，他说。
Hussein是一名白帽黑客和数据泄露发现者，于4月10日向三星报告了调查结果。在接下来的几天里，三星开始撤销AWS凭证，但不知道剩余的密钥和证书是否被撤销。
在他首次披露该问题后近三个月，三星仍然没有关闭侯赛因的漏洞报告。
“最近，一位个人安全研究人员通过我们的安全奖励计划报告了一个关于我们的测试平台的漏洞，”三星发言人Zach Dugan在出版前告知TechCrunch。 “我们很快撤销了所报告的测试平台的所有密钥和证书，虽然我们尚未找到任何外部访问发生的证据，但我们目前正在进一步调查此事。”
侯赛因表示，三星要到4月30日才撤销GitLab私钥。三星也拒绝回答我们提出的具体问题，也没有提供三星拥有的开发环境用于测试的证据。
侯赛因报告安全漏洞并不陌生。他最近在Blind这一匿名的社交网站上披露了一个易受攻击的后端数据库，这是一个受硅谷员工欢迎的匿名社交网站 – 并且发现了一个服务器泄露了科学期刊巨头Elsevier的用户密码滚动列表。
他说，三星的数据泄漏是他迄今为止最大的发现。
“我没有看到这样一家公司使用这种奇怪的做法来处理他们的基础设施，”他说。