A múlt hónapban kiderült, hogy a Samsung tulajdonában lévő Vandev Lab GitLab példánya nem jelszóval biztosította projektjeit. Mint ilyen, több tucat belső kódolási projektet állítottak be a különböző Samsung alkalmazások, szolgáltatások és projektek számára amely további hozzáférést biztosított a Samsung projektjeihez, ideértve a népszerű okosotthonát is ökoszisztéma SmartThings.
A projektek jelszóval történő megfelelő rögzítése nélkül bárkinek lehetőséget biztosított a forráskód megtekintésére, letöltésére vagy akár módosításokra.
Megnevezték a SpiderSilk biztonsági kutatóját Mossab Hussein április 10-én fedezte fel a biztonsági elévülést és jelentette a Samsungnak. Megállapításai szerint hozzáférhetett a teljes AWS-fiókhoz, beleértve több mint száz naplót és elemzési adatokat tartalmazó S3 tárolótartályt.
A Verizon a Pixel 4a készüléket mindössze 10 USD / hó áron kínálja az új Unlimited vonalakon
A naplók és elemzések olyan Samsung termékekre terjedtek ki, mint a SmartThings és a Bixby szolgáltatások, valamint több alkalmazott privát GitLab tokenje egyszerű szövegben. Ezen jelzők használatával Huszein 45 és 135 köz- és magánprojekthez tudott hozzáférni.
Amikor megkereste a Samsungot, Huszeinnek azt mondták, hogy egyes fájlok tesztelésre készültek, de gyorsan rámutatott az Android SmartThings alkalmazás jelenlegi verziójának forráskódjára. Az alkalmazást azonban beszélgetésük óta frissítették.
A hozzáférés legveszélyesebb része, hogy a GitLab jelzőkkel Huszein változtatásokat hajthatott végre a Samsung kódjában. Állította:
Az igazi fenyegetés abban rejlik, hogy valaki megszerezheti az alkalmazás forráskódjához való ilyen szintű hozzáférést, és rosszindulatú kódot fecskendezhet bele anélkül, hogy a vállalat tudná.
Néhány nappal azután, hogy Huszein felvette a kapcsolatot a Samsung-szal, visszavonták az AWS-hitelesítő adatokat, de azt még nem sikerült ellenőrizni, hogy a titkos kulcsok és tanúsítványok hasonló bánásmódban részesültek-e. A jelenlegi helyzetnek megfelelően a Samsung továbbra sem zárta le a biztonsági rés jelentését csaknem egy hónappal az első bejelentés után. Amikor azonban megjegyzést kértek, Zach Dugan, a Samsung szóvivője így válaszolt:
Gyorsan visszavontuk a jelentett tesztplatform összes kulcsát és tanúsítványát, és bár még nem találtunk bizonyítékot arra, hogy bármilyen külső hozzáférés történt volna, jelenleg ezt tovább vizsgáljuk.
Husszein szerint április 30-ig tartott a GitLab magánkulcsainak visszavonása, és őt idézik mondván: "Nem láttam ekkora vállalatot, hogy ilyen furcsa gyakorlatokkal kezelje infrastruktúráját." Mikor TechCrunch konkrét kérdéseket tett fel az incidenssel kapcsolatban, vagy annak bizonyítására, hogy csak tesztelési környezetekre vonatkozott, a Samsung elutasította.
Ez csak egy újabb példa arra, hogy a megfelelő biztonsági gyakorlatok napjainkban egyre fontosabbá válnak, amikor a technológia életünk minden aspektusába eljut.
Google Nest Hub Max praktikus: Kiváló többfunkciós készülék intelligens otthonához
Linkjeink segítségével jutalékot szerezhetünk a vásárlásokért. Tudj meg többet.
Ezek a legjobb vezeték nélküli fülhallgatók, amelyeket minden áron megvásárolhat!
A legjobb vezeték nélküli fülhallgató kényelmes, jól hangzik, nem kerül túl sokba, és könnyen elfér a zsebében.
Minden, amit tudnia kell a PS5-ről: Kiadási dátum, ár és még sok más.
A Sony hivatalosan megerősítette, hogy a PlayStation 5-en dolgozik. Itt van minden, amit eddig tudtunk róla.
A Nokia két új, 200 dollár alatti, olcsó Android One telefont dob piacra.
A Nokia 2.4 és a Nokia 3.4 a legújabb kiegészítés a HMD Global költségvetési okostelefon-kínálatában. Mivel mindkettő Android One eszköz, garantáltan két fő operációs rendszer frissítést és rendszeres biztonsági frissítést kapnak akár három évig.
Biztosítsa otthonát ezekkel a SmartThings kapucsengőkkel és zárakkal.
Az egyik legjobb dolog a SmartThings-ben, hogy számos más, harmadik féltől származó eszközt használhat a rendszerén, beleértve a csengőket és a zárakat is. Mivel mindegyikük lényegében ugyanazt a SmartThings támogatást osztja meg, arra összpontosítottunk, hogy mely eszközök rendelkeznek a legjobb specifikációkkal és trükkökkel annak igazolására, hogy felvegyék őket a SmartThings arzenáljába.