三星 SmartThings 等應用程序源代碼和密鑰遭泄露

三星工程師使用的開發實驗室正在泄露高度敏感的源代碼、憑證和幾個內部項目的密鑰——包括 SmartThings 平台。

三星旗下 Vandev Lab 上託管的 GitLab 實例中留下了數十個內部編碼項目。該實例被三星員工用來分享和貢獻各種三星應用程序、服務和項目代碼，由於項目被設置為 「公開」 且沒有受到密碼保護，因此任何人都可以查看每個項目，訪問並下載源代碼。

總部位於迪拜的網路安全公司 SpiderSilk 的安全研究員 Mossab Hussein 發現了這些泄露的文件，他表示，某個項目包含的證書允許訪問正在使用的整個 AWS 賬戶，包括 100 多個 S3 存儲單元，其中保存了日誌和分析數據。

他指出，許多文件夾包含三星 SmartThings 和 Bixby 服務的日誌和分析數據，還包括以明文形式存儲的幾個員工的私有 GitLab 令牌，這使他能夠從 42 個公共項目，以及許多私人項目中獲得額外訪問許可權。

公開的 AWS 憑證的屏幕截圖

三星回應稱，其中一些文件是用於測試的，但 Hussein 對此提出質疑，他表示，在 GitLab 代碼庫中發現的源代碼與 4 月 10 日在 Google Play 上發布的 Android 應用包含的代碼相同。這款應用隨後有過升級，到目前為止安裝量已超過 1 億次。

Hussein 提供了多張屏幕截圖和視頻作為證據。泄露的 GitLab 實例中還包括三星 SmartThings 的 iOS 和 Android 應用的私有證書。

通過泄露的私鑰和令牌，Hussein 記錄了大量訪問請求，他說，如果被惡意者獲得，結果可能是 「災難性的」。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！