威廉希尔
融资

三星多个项目代码泄露 包括SmartThings源代码和密钥

作者: 来源: 时间:2019-05-09

 

据美国科技媒体TechCrunch报道,一名信息安全研究员近期发现,三星工程师使用的一个开发平台泄露了多个内部项目,包括三星SmartThings敏感的源代码、证书和密钥。

三星数十个自主编码项目出现在旗下Vandev Lab的GitLab实例中。该实例被三星员工用于分享并贡献各种应用、服务和项目的代码。由于这些项目被设置为“公开”,同时没有受到密码的保护,因此任何人都可以查看项目,获取并下载源代码。

迪拜信息安全公司SpiderSilk的安全研究员莫撒布·胡赛因(Mossab Hussein)发现了这些泄露的文件。他表示,某个项目包含的证书允许访问正在使用的整个AWS帐号,包括100多个S3存储单元,其中保存了日志和分析数据。

部分泄露代码截图

他指出,许多文件夹包含三星SmartThings和Bixby服务的日志和分析数据,以及几名员工以明文保存的私有GitLab令牌。这使得他可以额外获得42个公开项目,以及多个私有项目的访问权限。

三星回应称,其中一些文件是用于测试的,但胡赛因对此提出质疑。他表示,在GitLab代码仓库中发现的源代码与4月10日在Google Play上发布的Android应用包含的代码相同。这款应用随后又有过升级,到目前为止的安装量已经超过1亿多次。

胡赛因说:“我获得了一名用户的私有令牌,该用户可以完全访问GitLab上的所有135个项目。”因此,他可以使用该员工的帐号去修改代码。

胡赛因还提供了多张屏幕截图和视频作为证据。泄露的GitLab实例中还包括三星SmartThings的iOS和Android应用的私有证书。

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源; 2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任; 3.作者投稿可能会经我们编辑修改或补充。

相关文章
  • 详解深圳首艘科学试验船

  • 新发现系外类地行星离寻找外星生命目标更近...

  • 1毛钱1个每天5万人 淘宝吃货“鸡蛋自由...

  • 英特尔芯片有漏洞 专家建议更新电脑

  • Windows RDP服务蠕虫级漏洞预警...

  • 荣耀20现身跑分平台 关键配置全曝光

  • 一加子弹无线耳机2发布:佩戴更舒适 售价...

  • IDC:一季度印度智能手机市场同比增长7...