Logo th.androidermagazine.com
Logo th.androidermagazine.com
» ข่าว
ข่าว

ข้อผิดพลาดด้านความปลอดภัยให้การเข้าถึงซอร์สโค้ดแอป smartthings ของซัมซุง

ข้อผิดพลาดด้านความปลอดภัยให้การเข้าถึงซอร์สโค้ดแอป smartthings ของซัมซุง
Anonim

เมื่อเดือนที่แล้วพบว่าอินสแตนซ์ GitLab สำหรับ Vandev Lab ซึ่งเป็นของ Samsung ไม่ได้รักษาความปลอดภัยโครงการด้วยรหัสผ่าน ด้วยเหตุนี้โครงการเข้ารหัสภายในหลายสิบโครงการสำหรับแอพบริการและโครงการต่าง ๆ ของ Samsung ได้ถูกกำหนดให้เป็นสาธารณะซึ่งจะช่วยให้สามารถเข้าถึงโครงการของ Samsung ได้มากขึ้นรวมถึง SmartThings ระบบนิเวศที่บ้านอัจฉริยะ

โดยไม่ต้องรักษาความปลอดภัยโครงการด้วยรหัสผ่านมันทำให้ทุกคนสามารถดูซอร์สโค้ดดาวน์โหลดหรือเปลี่ยนแปลงได้

นักวิจัยด้านความปลอดภัยจาก SpiderSilk ชื่อ Mossab Hussein ได้เปิดเผยการรักษาความปลอดภัยเมื่อวันที่ 10 เมษายนและรายงานต่อซัมซุง จากการค้นพบของเขาเขาสามารถเข้าถึงบัญชี AWS ทั้งหมดรวมถึงถังเก็บข้อมูล S3 ร้อยที่ประกอบด้วยบันทึกและข้อมูลการวิเคราะห์

บันทึกและการวิเคราะห์ครอบคลุมผลิตภัณฑ์ของ Samsung เช่นบริการ SmartThings และ Bixby รวมถึงโทเค็น GitLab ส่วนตัวของพนักงานหลายคนในรูปแบบข้อความล้วน ด้วยการใช้โทเค็นเหล่านี้ทำให้ฮุสเซ็นสามารถเข้าถึงโครงการสาธารณะและส่วนตัวระหว่าง 45 ถึง 135 โครงการ

เมื่อเขาติดต่อกับซัมซุงฮุสเซ็นก็บอกว่าไฟล์บางไฟล์สำหรับการทดสอบ แต่เขาก็ชี้ให้เห็นถึงซอร์สโค้ดสำหรับแอพ Android SmartThings เวอร์ชันปัจจุบันอย่างรวดเร็ว แอพได้รับการปรับปรุงตั้งแต่การสนทนาของพวกเขา

ส่วนที่อันตรายที่สุดของการเข้าถึงนี้คือด้วยโทเค็นของ GitLab ทำให้ฮุสเซ็นสามารถเปลี่ยนแปลงรหัสของซัมซุงได้ เขากล่าวว่า:

ภัยคุกคามที่แท้จริงนั้นอยู่ในความเป็นไปได้ของใครบางคนที่ได้รับสิทธิ์การเข้าถึงระดับซอร์สโค้ดของแอปพลิเคชันและฉีดด้วยรหัสที่เป็นอันตรายโดยที่ บริษัท ไม่รู้ตัว

ข้อมูลรับรอง AWS ถูกเพิกถอนไม่กี่วันหลังจากที่ฮุสเซ็นติดต่อกับซัมซุง แต่ก็ยังไม่ได้รับการตรวจสอบหากคีย์ลับและใบรับรองได้รับการรักษาที่คล้ายกัน เนื่องจากตอนนี้ Samsung ยังไม่ได้ปิดช่องโหว่รายงานเกือบหนึ่งเดือนหลังจากมีการรายงานครั้งแรก อย่างไรก็ตามเมื่อถูกถามถึงความคิดเห็นซัคดูแกนโฆษกของซัมซุงตอบว่า:

เราเพิกถอนคีย์และใบรับรองทั้งหมดอย่างรวดเร็วสำหรับแพลตฟอร์มการทดสอบที่รายงานและในขณะที่เรายังไม่พบหลักฐานว่ามีการเข้าถึงจากภายนอกเกิดขึ้นขณะนี้เรากำลังตรวจสอบเรื่องนี้เพิ่มเติม

ตามที่ฮุสเซ็นใช้เวลาถึงวันที่ 30 เมษายนเพื่อให้เพิกถอนกุญแจส่วนตัวของ GitLab และเขาก็พูดว่า "ฉันไม่เคยเห็น บริษัท ใหญ่แห่งนี้จัดการโครงสร้างพื้นฐานของพวกเขา เมื่อ TechCrunch ถามคำถามเฉพาะเกี่ยวกับเหตุการณ์หรือเพื่อพิสูจน์ว่าเป็นเพียงการทดสอบสภาพแวดล้อม Samsung ปฏิเสธ

นี่เป็นเพียงตัวอย่างของวิธีการรักษาความปลอดภัยที่เหมาะสมกลายเป็นสิ่งสำคัญมากขึ้นเรื่อย ๆ ในวันนี้เมื่อเทคโนโลยีค้นหาวิธีการในทุกด้านของชีวิตของเรา

Google Nest Hub Max ปฏิบัติด้วยมือ: เครื่องออลล์ - อิน - วันในตัวที่ยอดเยี่ยมสำหรับบ้านอัจฉริยะของคุณ

เราอาจได้รับค่าคอมมิชชั่นสำหรับการซื้อโดยใช้ลิงก์ของเรา เรียนรู้เพิ่มเติม.

ข่าว

ตัวเลือกของบรรณาธิการ