W zeszłym miesiącu odkryto, że instancja GitLab dla Vandev Lab, której właścicielem jest Samsung, nie zabezpieczyła swoich projektów hasłem. W związku z tym przygotowano dziesiątki wewnętrznych projektów kodowania dla różnych aplikacji, usług i projektów Samsung publicznej, co z kolei zapewniło dalszy dostęp do projektów Samsunga, w tym do popularnego inteligentnego domu ekosystem SmartThings.
Bez odpowiedniego zabezpieczenia projektów hasłem dawał każdemu możliwość wglądu do kodu źródłowego, pobrania go, a nawet wprowadzenia zmian.
Badacz bezpieczeństwa ze SpiderSilk o imieniu Mossab Hussein wykrył lukę w zabezpieczeniach 10 kwietnia i zgłosił to firmie Samsung. W swoich ustaleniach miał dostęp do całego konta AWS, w tym ponad stu zbiorników pamięci S3 zawierających dzienniki i dane analityczne.
Verizon oferuje Pixel 4a za jedyne 10 USD miesięcznie na nowych liniach Unlimited
Dzienniki i analizy obejmowały produkty Samsung, takie jak usługi SmartThings i Bixby, a także prywatne tokeny GitLab kilku pracowników w postaci zwykłego tekstu. Za pomocą tych tokenów Hussein mógł uzyskać dostęp do od 45 do 135 projektów publicznych i prywatnych.
Kiedy skontaktował się z firmą Samsung, powiedziano Husseinowi, że niektóre pliki są przeznaczone do testowania, ale szybko wskazał, że obecny jest kod źródłowy aktualnej wersji aplikacji Android SmartThings. Jednak aplikacja została zaktualizowana od czasu ich rozmowy.
Najbardziej niebezpieczną częścią tego dostępu jest to, że za pomocą tokenów GitLab Hussein mógł dokonać zmian w kodzie Samsunga. Stwierdził:
Prawdziwe zagrożenie polega na tym, że ktoś może uzyskać taki poziom dostępu do kodu źródłowego aplikacji i wstrzyknąć do niego złośliwy kod bez wiedzy firmy.
Poświadczenia AWS zostały cofnięte kilka dni po tym, jak Hussein skontaktował się z Samsungiem, ale nie zweryfikowano, czy tajne klucze i certyfikaty zostały potraktowane w podobny sposób. Obecnie Samsung nadal nie zamknął raportu o lukach prawie miesiąc po tym, jak został po raz pierwszy zgłoszony. Jednak, poproszony o komentarz, Zach Dugan, rzecznik Samsunga, odpowiedział:
Szybko unieważniliśmy wszystkie klucze i certyfikaty dla zgłoszonej platformy testowej i chociaż nie znaleźliśmy jeszcze dowodów na to, że wystąpił jakikolwiek dostęp z zewnątrz, obecnie badamy to dalej.
Według Husseina odebranie kluczy prywatnych GitLab zajęło 30 kwietnia i jest cytowany mówiąc: „Nie widziałem, żeby firma tak duża radziła sobie ze swoją infrastrukturą przy użyciu takich dziwnych praktyk”. Gdy TechCrunch zadawał konkretne pytania dotyczące incydentu lub jako dowód, że dotyczyło to tylko środowisk testowych, firma Samsung odmówiła.
To tylko kolejny przykład tego, jak właściwe praktyki bezpieczeństwa stają się coraz ważniejsze w dzisiejszych czasach, gdy technologia znajduje zastosowanie w każdym aspekcie naszego życia.
Praktyczne korzystanie z Google Nest Hub Max: świetne urządzenie wielofunkcyjne dla Twojego inteligentnego domu
Możemy otrzymać prowizję za zakupy za pomocą naszych linków. Ucz się więcej.
To najlepsze bezprzewodowe słuchawki douszne, które możesz kupić za każdą cenę!
Najlepsze bezprzewodowe słuchawki douszne są wygodne, świetnie brzmią, nie kosztują zbyt wiele i łatwo mieszczą się w kieszeni.
Wszystko, co musisz wiedzieć o PS5: data premiery, cena i nie tylko.
Sony oficjalnie potwierdziło, że pracuje nad PlayStation 5. Oto wszystko, co o nim wiemy.
Nokia wprowadza na rynek dwa nowe, budżetowe telefony z Androidem One poniżej 200 dolarów.
Nokia 2.4 i Nokia 3.4 to najnowsze dodatki do budżetowej linii smartfonów HMD Global. Ponieważ oba są urządzeniami z Androidem One, mają gwarancję otrzymania dwóch głównych aktualizacji systemu operacyjnego i regularnych aktualizacji zabezpieczeń przez okres do trzech lat.
Zabezpiecz swój dom dzwonkami i zamkami SmartThings.
Jedną z najlepszych rzeczy w SmartThings jest to, że możesz używać wielu innych urządzeń innych firm w swoim systemie, w tym dzwonków do drzwi i zamków. Ponieważ wszystkie one zasadniczo korzystają z tej samej obsługi SmartThings, skupiliśmy się na tym, które urządzenia mają najlepsze specyfikacje i sztuczki, aby uzasadnić dodanie ich do arsenału SmartThings.