“你要是像三星那么會(huì)作，早都成網(wǎng)紅了！”

宅宅一想，說(shuō)的嘚：三星這兩年的確有點(diǎn)兒背，先是S7爆炸門兩天蒸發(fā)市值200億美元，再是折疊屏手機(jī)被曝質(zhì)量不過(guò)關(guān)不得不延期發(fā)售日期。

都說(shuō)人倒霉了喝水都噻牙縫，看來(lái)廠商也一樣。這不，趁著老哥點(diǎn)兒背，黑客也給來(lái)了個(gè)回首~掏：

據(jù)Techcrunch報(bào)道，SpiderSilk發(fā)現(xiàn)三星SmartThings等應(yīng)用程序的敏感源代碼和密鑰遭到泄露，儲(chǔ)存的AWS賬戶、日志、分析數(shù)據(jù)等被公開。

神補(bǔ)刀......

多個(gè)敏感源代碼泄露

SpiderSilk安全研究員Mossab Hussein發(fā)現(xiàn)了暴露的文件，一個(gè)項(xiàng)目包含的憑據(jù)允許訪問(wèn)正在使用的整個(gè)AWS賬戶，這其中包括100多個(gè)包含日志和分析數(shù)據(jù)的S3存儲(chǔ)庫(kù)。

發(fā)現(xiàn)問(wèn)題后，SpiderSilk第一時(shí)間將情況上報(bào)了三星。三星則回復(fù)稱，泄露的文件有些只是用于內(nèi)部測(cè)試，不會(huì)影響到實(shí)際的用戶體驗(yàn)。

對(duì)此，Hussein持反對(duì)態(tài)度。他稱，上述泄露的文件內(nèi)容中，包含了以明文形式存儲(chǔ)的幾個(gè)員工私有GitLab令牌被暴露，這使得攻擊者能夠從42個(gè)公共項(xiàng)目獲得額外的訪問(wèn)權(quán)限到135個(gè)項(xiàng)目，這其中就包括許多私人項(xiàng)目。

“更令人擔(dān)心的是，這些文件讓我擁有了幾個(gè)內(nèi)部員工的私人令牌。我完全可以用它訪問(wèn)GitLab上的全部135個(gè)項(xiàng)目，我甚至可以隨意修改賬戶代碼，讓其變成我的東西。”

SmartThings應(yīng)用或受牽連

那么，此次事件會(huì)不會(huì)影響到消費(fèi)者呢？

Hussein稱，三星在GitLab上留下了數(shù)十個(gè)內(nèi)部編碼項(xiàng)目實(shí)例托管在三星擁有的域名Vandev Lab上，工作人員在這里分享和貢獻(xiàn)各種三星應(yīng)用程序。因?yàn)轫?xiàng)目被設(shè)置為“公共”并且沒(méi)有用密碼正確保護(hù)，因此允許任何人查看每個(gè)項(xiàng)目，訪問(wèn)并下載源代碼。

而在這些被暴露的GitLab實(shí)例中，還包含了三星SmartThings的iOS和Android應(yīng)用程序的私有證書。Hussein分享了幾個(gè)屏幕截圖和他發(fā)現(xiàn)的視頻，供TechCrunch檢查和驗(yàn)證。

公開的AWS憑證的屏幕截圖，允許使用GitLab私有令牌訪問(wèn)存儲(chǔ)庫(kù)

“我在這些被暴露的文件的文件夾中找到了包含三星SmartThings和Bixby服務(wù)的日志以及分析數(shù)據(jù)。我還在暴露的文件中發(fā)現(xiàn)了幾個(gè)內(nèi)部文檔和幻燈片。所以，真正的威脅在于攻擊者有可能獲得對(duì)應(yīng)用程序源代碼的訪問(wèn)權(quán)限，并在公司不知情的情況下向其注入惡意代碼?！?/p>

SpiderSilk分析，目前在已經(jīng)泄露的存儲(chǔ)庫(kù)中已經(jīng)記錄了大量訪問(wèn)，如果被惡意行為者獲得可能是“災(zāi)難性的”后果。

盡管三星稱被泄露內(nèi)容只用于內(nèi)部測(cè)試，但Hussein發(fā)現(xiàn)，實(shí)際上被泄露的GitLab存儲(chǔ)庫(kù)中的源代碼包含與Android相同的代碼，而該應(yīng)用程序于4月10日在Google Play上發(fā)布。目前，該應(yīng)用程序已更新多次，迄今安裝量超過(guò)一億。

這里的應(yīng)用程序，很可能指的就是基于iOS和安卓的SmartThings客戶端。這是三星為智能家居和消費(fèi)者物聯(lián)網(wǎng)構(gòu)建的開放平臺(tái)。其構(gòu)建了集線器，云平臺(tái)和客戶端應(yīng)用程序，是目前智能家居設(shè)備的連接解決方案。

Hussein稱，三星的數(shù)據(jù)泄漏是我迄今為止最大的發(fā)現(xiàn)，我沒(méi)有看到過(guò)有公司使用這種奇怪的做法來(lái)處理他們的基礎(chǔ)設(shè)施。另一邊，在接下來(lái)的幾天里三星開始撤銷AWS憑證，但不知道剩余的密鑰和證書是否已被撤銷。

三星發(fā)言人扎克·杜根(Zach Dugan)表示：目前已經(jīng)針對(duì)上報(bào)情況做了處理，但目前仍正在對(duì)此進(jìn)行進(jìn)一步調(diào)查?！?/p>

參考來(lái)源：Techcrunch雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。