Τον περασμένο μήνα, ανακαλύφθηκε ότι μια παρουσία GitLab για το Vandev Lab, το οποίο ανήκει στη Samsung, δεν είχε εξασφαλίσει τα έργα της με κωδικό πρόσβασης. Ως εκ τούτου, δεκάδες έργα εσωτερικής κωδικοποίησης για διάφορες εφαρμογές, υπηρεσίες και έργα της Samsung τέθηκαν σε εφαρμογή κοινό, το οποίο με τη σειρά του παρείχε περαιτέρω πρόσβαση σε έργα της Samsung, συμπεριλαμβανομένου του δημοφιλούς έξυπνου σπιτιού της οικοσύστημα Έξυπνα πράγματα.
Χωρίς να ασφαλίζει σωστά τα έργα με κωδικό πρόσβασης, έδωσε σε οποιονδήποτε τη δυνατότητα να δει τον πηγαίο κώδικα, να τον κατεβάσει ή ακόμα και να κάνει αλλαγές.
Ένας ερευνητής ασφαλείας από το SpiderSilk ονόμασε Μοσάμπ Χουσεΐν ανακάλυψε το σφάλμα ασφαλείας στις 10 Απριλίου και το ανέφερε στη Samsung. Στα ευρήματά του, είχε πρόσβαση σε ολόκληρο τον λογαριασμό AWS, συμπεριλαμβανομένων περισσότερων από εκατό κάδων αποθήκευσης S3 που περιέχουν αρχεία καταγραφής και αναλυτικά δεδομένα.
Η Verizon προσφέρει το Pixel 4a με μόλις $ 10 / μήνα σε νέες απεριόριστες γραμμές
Τα αρχεία καταγραφής και τα αναλυτικά στοιχεία κάλυψαν προϊόντα Samsung, όπως οι υπηρεσίες SmartThings και Bixby, καθώς και ιδιωτικά token GitLab πολλών υπαλλήλων σε απλό κείμενο. Με τη χρήση αυτών των διακριτικών, ο Hussein μπόρεσε να έχει πρόσβαση μεταξύ 45 και 135 δημόσιων και ιδιωτικών έργων.
Όταν ήρθε σε επαφή με τη Samsung, ο Χουσεΐν ενημερώθηκε ότι ορισμένα από τα αρχεία ήταν για δοκιμή, αλλά ήταν γρήγορο να επισημάνει τον πηγαίο κώδικα για την τρέχουσα έκδοση της εφαρμογής Android SmartThings. Ωστόσο, η εφαρμογή ενημερώθηκε από τη συνομιλία τους.
Το πιο επικίνδυνο μέρος αυτής της πρόσβασης είναι ότι, με τα token GitLab, ο Hussein θα μπορούσε να έχει κάνει αλλαγές στον κώδικα της Samsung. Δήλωσε:
Η πραγματική απειλή έγκειται στην πιθανότητα να αποκτήσει κάποιος αυτό το επίπεδο πρόσβασης στον πηγαίο κώδικα της εφαρμογής και να τον εγχύσει κακόβουλο κώδικα χωρίς να το γνωρίζει η εταιρεία.
Τα διαπιστευτήρια AWS ανακλήθηκαν λίγες μέρες μετά την επικοινωνία της Hussein με τη Samsung, αλλά δεν έχει επαληθευτεί εάν τα μυστικά κλειδιά και τα πιστοποιητικά έλαβαν παρόμοια μεταχείριση. Όπως είναι τώρα, η Samsung δεν έχει κλείσει ακόμα την αναφορά ευπάθειας σχεδόν ένα μήνα μετά την πρώτη της αναφορά. Ωστόσο, όταν του ζητήθηκε ένα σχόλιο, ο Zach Dugan, εκπρόσωπος της Samsung απάντησε:
Ανακάψαμε γρήγορα όλα τα κλειδιά και τα πιστοποιητικά για την αναφερόμενη πλατφόρμα δοκιμών και ενώ δεν έχουμε ακόμη βρει αποδεικτικά στοιχεία ότι προέκυψε οποιαδήποτε εξωτερική πρόσβαση, αυτήν τη στιγμή διερευνούμε περαιτέρω.
Σύμφωνα με τον Χουσεΐν, χρειάστηκαν έως τις 30 Απριλίου για την ανάκληση των ιδιωτικών κλειδιών του GitLab και αναφέρεται λέγοντας, "Δεν έχω δει μια τόσο μεγάλη εταιρεία να χειρίζεται την υποδομή τους χρησιμοποιώντας περίεργες πρακτικές όπως αυτή." Πότε TechCrunch υπέβαλε συγκεκριμένες ερωτήσεις σχετικά με το συμβάν, ή για απόδειξη ότι ήταν μόνο για δοκιμές σε περιβάλλοντα, η Samsung αρνήθηκε.
Αυτό είναι ένα ακόμη παράδειγμα του πώς οι σωστές πρακτικές ασφάλειας γίνονται ολοένα και πιο σημαντικές αυτές τις μέρες, καθώς η τεχνολογία βρίσκει το δρόμο της σε κάθε πτυχή της ζωής μας.
Google Nest Hub Max hands-on: Ένα εξαιρετικό all-in-one για το έξυπνο σπίτι σας
Ενδέχεται να κερδίσουμε προμήθεια για αγορές χρησιμοποιώντας τους συνδέσμους μας. Μάθε περισσότερα.
Αυτά είναι τα καλύτερα ασύρματα ακουστικά που μπορείτε να αγοράσετε σε κάθε τιμή!
Τα καλύτερα ασύρματα ακουστικά είναι άνετα, υπέροχα, δεν κοστίζουν πάρα πολύ και χωράνε εύκολα στην τσέπη.
Όλα όσα πρέπει να γνωρίζετε για το PS5: Ημερομηνία κυκλοφορίας, τιμή και πολλά άλλα.
Η Sony επιβεβαίωσε επίσημα ότι εργάζεται στο PlayStation 5. Εδώ είναι ό, τι γνωρίζουμε μέχρι τώρα.
Η Nokia λανσάρει δύο νέα τηλέφωνα Android One προϋπολογισμού κάτω των 200 $.
Το Nokia 2.4 και το Nokia 3.4 είναι οι τελευταίες προσθήκες στην οικονομική σειρά smartphone της HMD Global. Δεδομένου ότι είναι και οι δύο συσκευές Android One, είναι εγγυημένο ότι θα λαμβάνουν δύο σημαντικές ενημερώσεις λειτουργικού συστήματος και τακτικές ενημερώσεις ασφαλείας για έως και τρία χρόνια.
Ασφαλίστε το σπίτι σας με αυτά τα κουδούνια και κλειδαριές SmartThings.
Ένα από τα καλύτερα πράγματα για το SmartThings είναι ότι μπορείτε να χρησιμοποιήσετε πολλές άλλες συσκευές τρίτου μέρους στο σύστημά σας, κουδούνια και κλειδαριές που περιλαμβάνονται. Εφόσον όλοι μοιράζονται ουσιαστικά την ίδια υποστήριξη SmartThings, έχουμε εστιάσει σε ποιες συσκευές έχουν τις καλύτερες προδιαγραφές και κόλπα για να δικαιολογήσουν την προσθήκη τους στο οπλοστάσιό σας SmartThings.