Sidste måned blev det opdaget, at en GitLab-instans for Vandev Lab, som ejes af Samsung, ikke havde sikret sine projekter med en adgangskode. Som sådan blev snesevis af interne kodningsprojekter til forskellige Samsung-apps, -tjenester og -projekter indstillet til offentlig, hvilket igen gav yderligere adgang til Samsung-projekter, herunder dets populære smarte hjem økosystem SmartThings.
Uden at sikre projekterne korrekt med en adgangskode gav det nogen muligheden for at se kildekoden, downloade den eller endda foretage ændringer.
En sikkerhedsforsker fra SpiderSilk navngivet Mossab Hussein afslørede bortfaldet af sikkerhed den 10. april og rapporterede det til Samsung. I sine fund havde han adgang til hele AWS-kontoen inklusive over hundrede S3-opbevaringsspande indeholdende logfiler og analytiske data.
Verizon tilbyder Pixel 4a for kun $ 10 / mo på nye ubegrænsede linjer
Logfilerne og analyserne omfattede Samsung-produkter som SmartThings og Bixby-tjenester samt flere medarbejderes private GitLab-tokens i almindelig tekst. Med brugen af disse tokens var Hussein i stand til at få adgang til mellem 45 og 135 offentlige og private projekter.
Da han kontaktede Samsung, fik Hussein at vide, at nogle af filerne var til test, men han var hurtig til at påpege kildekoden til den aktuelle version af Android SmartThings-appen var til stede. Appen er dog opdateret siden deres samtale.
Den farligste del af denne adgang er, at Hussein med GitLab-tokens kunne have foretaget ændringer i Samsungs kode. Han sagde:
Den virkelige trussel ligger i muligheden for, at nogen får dette niveau af adgang til applikationens kildekode og injicerer den med ondsindet kode, uden at virksomheden ved det.
AWS-legitimationsoplysningerne blev tilbagekaldt et par dage efter Hussein kontaktede Samsung, men det er ikke blevet verificeret, om de hemmelige nøgler og certifikater modtog lignende behandling. Som det er nu, har Samsung stadig ikke lukket sårbarhedsrapporten næsten en måned efter, at den først blev rapporteret. Da Zach Dugan, en Samsung-talsmand, blev bedt om en kommentar, svarede han imidlertid:
Vi tilbagekaldte hurtigt alle nøgler og certifikater til den rapporterede testplatform, og selvom vi endnu ikke har fundet beviser for, at der opstod ekstern adgang, undersøger vi i øjeblikket dette yderligere.
Ifølge Hussein tog det indtil 30. april for GitLab private nøgler at blive tilbagekaldt, og han er citeret siger, "Jeg har ikke set en virksomhed, der er så stor, håndtere deres infrastruktur ved hjælp af underlige fremgangsmåder som den." Hvornår TechCrunch stillede specifikke spørgsmål om hændelsen, eller som bevis for, at det kun var til testmiljøer, afviste Samsung.
Dette er blot endnu et eksempel på, hvordan ordentlig sikkerhedspraksis bliver mere og mere vigtig i disse dage, da teknologien finder vej ind i alle aspekter af vores liv.
Google Nest Hub Max hands-on: En fantastisk alt-i-en til dit smarte hjem
Vi tjener muligvis en provision for køb ved hjælp af vores links. Lær mere.
Dette er de bedste trådløse øretelefoner, du kan købe til enhver pris!
De bedste trådløse øretelefoner er komfortable, lyder godt, koster ikke for meget og passer let i lommen.
Alt hvad du behøver at vide om PS5: Udgivelsesdato, pris og mere.
Sony har officielt bekræftet, at de arbejder på PlayStation 5. Her er alt, hvad vi ved om det hidtil.
Nokia lancerer to nye budget Android One-telefoner under $ 200.
Nokia 2.4 og Nokia 3.4 er de seneste tilføjelser til HMD Globals budget-smartphone-sortiment. Da de begge er Android One-enheder, modtager de garanteret to store OS-opdateringer og regelmæssige sikkerhedsopdateringer i op til tre år.
Beskyt dit hjem med disse SmartThings dørklokker og låse.
En af de bedste ting ved SmartThings er, at du kan bruge en række andre tredjepartsenheder på dit system, dørklokker og låse inkluderet. Da de alle i det væsentlige deler den samme SmartThings-support, har vi fokuseret på, hvilke enheder der har de bedste specifikationer og tricks til at retfærdiggøre at tilføje dem til dit SmartThings-arsenal.