У Samsung выкралі зыходны код будучых распрацовак
3- 11.05.2019, 11:16
- 11,124
Праекты не былі належным чынам абароненыя паролем.
Лабараторыя распрацоўкі Samsung выпадкова адкрыла доступ да зыходнага кода, уліковых звестак і таемных ключоў для некалькіх унутраных праектаў, уключаючы SmartThings.
Электронны гігант пакінуў дзясяткі праектаў унутранага кадавання на GitLab з пазнакай "агульнадаступныя", піша TechCrunch.
Сэрвіс, які выкарыстоўваўся супрацоўнікамі для абмену і дадавання кода ў розныя праграмы, сэрвісы і праекты Samsung, перадаваў звесткі, таму што праекты не былі належным чынам абароненыя паролем, што дазваляла любому зазірнуць усярэдзіну кожнага праекта, атрымаць доступ і загрузіць зыходны код.
Масаб Хусейн, даследнік бяспекі ў дубайскай фірме SpiderSilk, які выявіў адкрытыя файлы, сказаў, што адзін праект утрымліваў уліковыя звесткі, якія дазвалялі атрымаць доступ да ўсяго выкарыстанага ўліковага запісу AWS, уключаючы больш за 100 сховішчаў S3, якія ўтрымлівалі журналы і аналітычныя звесткі.
Паводле ягоных словаў, многія з тэчак утрымлівалі журналы і аналітычныя звесткі для сэрвісаў Samsung SmartThings і Bixby, а таксама адкрытыя асабістыя маркеры GitLab некалькіх супрацоўнікаў, якія захоўваюцца ў выглядзе адкрытага тэксту, што дазволіла яму атрымаць дадатковы доступ з 42 агульнадаступных праектаў да яшчэ 135 праектаў.
Прадстаўнікі Samsung запэўніваюць, што некаторыя файлы прызначаныя для тэставання, але Хусэйн аспрэчыў сцвярджэнне, заявіўшы, што зыходны код, знойдзены ў рэпазітары GitLab, змяшчае той самы код, што і Android прыкладанне, апублікаванае ў Google Play 10 красавіка.
Прыкладанне, якое з тых часоў было абноўленае, сёння мае больш за 100 мільёнаў установак.
"У мяне быў асабісты токен карыстальніка, які меў поўны доступ да ўсіх 135 праектаў на гэтым GitLab", – сказаў Масаб Хусейн, дадаўшы, што гэта магло дазволіць яму ўносіць змены ў код, выкарыстоўваючы ўласны ўліковы запіс супрацоўніка.
"Сапраўдная пагроза палягае ў тым, што нехта можа атрымаць гэты ўзровень доступу да зыходнага кода прыкладання і ўкараніць у яго шкоднасны код без ведання кампаніі", – сказаў ён.
Samsung пацвердзіла знойдзеную ўразлівасць і ўжо зрабіла захады для яе ліквідацыі. Тым не менш праз амаль месяц пасля таго, як Масаб Хусейн упершыню раскрыў праблему, расследаванне да гэтага часу не закончанае.
