Logo iw.androidermagazine.com
Logo iw.androidermagazine.com
» חדשות
חדשות

טעות אבטחה סיפקה גישה לקוד המקור של האפליקציה החכמה של סמסונג

טעות אבטחה סיפקה גישה לקוד המקור של האפליקציה החכמה של סמסונג
Anonim

בחודש שעבר התגלה כי מופע GitLab עבור Vandev Lab, הנמצא בבעלות סמסונג, לא הבטיח את הפרויקטים באמצעות סיסמה. מכיוון שכך, עשרות פרויקטים של קידוד פנימי עבור אפליקציות, שירותים ופרויקטים שונים של סמסונג נקבעו לציבור, אשר בתורם סיפקו גישה נוספת לפרויקטים של סמסונג, כולל האקוסיסטם הפופולרי של הבית החכם SmartThings.

מבלי לאבטח כראוי את הפרויקטים באמצעות סיסמה, זה נתן לכל אחד את היכולת להציג את קוד המקור, להוריד אותו או אפילו לבצע שינויים.

חוקר אבטחה מבית ספיידרסילק בשם מוסאב חוסין חשף את הפיגוע באבטחה ב -10 באפריל ודיווח על כך לסמסונג. בממצאיו הייתה לו גישה לכל חשבון AWS כולל למעלה ממאה דלי אחסון S3 הכוללים יומנים ונתונים אנליטיים.

היומנים והאנליטיקה כיסו את מוצרי סמסונג כמו שירותי SmartThings ושירותי Bixby, כמו גם אסימוני GitLab פרטיים של מספר עובדים בטקסט רגיל. בעזרת אסימונים אלה הצליח חוסין לגשת בין 45 ל -135 פרויקטים ציבוריים ופרטיים.

כשיצר קשר עם סמסונג נאמר לחוסין שחלק מהקבצים נועדו לבדיקה, אך הוא מיהר להצביע על קוד המקור לגירסה הנוכחית של אפליקציית Android SmartThings. עם זאת, האפליקציה עודכנה מאז השיחה שלהם.

החלק המסוכן ביותר בגישה זו הוא שעם סמלי ה- GitLab, חוסין יכול היה לבצע שינויים בקוד של סמסונג. הוא הצהיר:

האיום האמיתי טמון באפשרות שמישהו ירכוש רמה כזו של גישה לקוד המקור של האפליקציה, ולהזריק לו קוד זדוני מבלי שהחברה תדע.

אישורי ה- AWS בוטלו כמה ימים לאחר שחוסין יצר קשר עם סמסונג, אך לא אומת אם המפתחות והתעודות הסודיים קיבלו יחס דומה. כפי שהיא כעת, סמסונג עדיין לא סגרה את דוח הפגיעות כמעט חודש לאחר הדיווח עליה לראשונה. עם זאת, כאשר התבקש לקבל תגובה, זאק דוגן, דובר סמסונג השיב:

ביטלנו במהירות את כל המפתחות והתעודות עבור פלטפורמת הבדיקה המדווחת, ובעוד טרם מצאנו הוכחות לכך שהתרחשה גישה חיצונית כלשהי, אנו בוחנים זאת כעת.

לדברי חוסין, נדרשו עד 30 באפריל עד שביטלו את המפתחות הפרטיים של GitLab, והוא מצוטט באומרו, "לא ראיתי חברה גדולה כזו שמטפלת בתשתית שלהם משתמשת בפרקטיקות משונות כאלה." כאשר TechCrunch שאל שאלות ספציפיות לגבי האירוע, או לצורך הוכחה זה נועד רק לסביבות בדיקה, סמסונג סירבה.

זו רק דוגמא נוספת לאופן שבו נהלי אבטחה נאותים הופכים לחשובים יותר ויותר בימים אלה ככל שהטכנולוגיה מוצאת את דרכה לכל היבט בחיינו.

מכשיר דיבור מקסימאלי של Google Nest Hub: מכשיר All-in-One נהדר לבית החכם שלך

אנו עשויים להרוויח עמלה לרכישות באמצעות הקישורים שלנו. למד עוד.

חדשות

בחירת העורכים