Прошлог месеца откривено је да примерак ГитЛаб-а за Вандев Лаб, који је у власништву Самсунг-а, није обезбедио своје пројекте лозинком. Као такви, постављено је на десетине пројеката интерног кодирања за разне Самсунг апликације, услуге и пројекте јавности, што је заузврат омогућило даљи приступ Самсунг пројектима, укључујући и његову популарну паметну кућу екосистема СмартТхингс.
Без правилног осигурања пројеката лозинком, свима је омогућио да погледају изворни код, преузму га или чак унесу промене.
Истраживач безбедности из компаније СпидерСилк Моссаб Хуссеин открио је пропуст у обезбеђењу 10. априла и пријавио га Самсунгу. У својим налазима имао је приступ целом АВС налогу, укључујући преко стотину сегмената за складиштење С3 који су садржавали евиденције и аналитичке податке.
Веризон нуди Пикел 4а за само 10 УСД месечно на новим Неограниченим линијама
Евиденције и аналитика покривали су Самсунг производе као што су СмартТхингс и Бикби услуге, као и приватне ГитЛаб токене неколико запослених у обичном тексту. Коришћењем ових токена, Хусеин је могао да приступи између 45 и 135 јавних и приватних пројеката.
Када је контактирао Самсунг, Хусеину је речено да су неке датотеке на тестирању, али је брзо истакао да је присутан изворни код тренутне верзије апликације Андроид СмартТхингс. Међутим, апликација је ажурирана од њиховог разговора.
Најопаснији део овог приступа је да је, са ГитЛаб токенима, Хуссеин могао да изврши промене у Самсунговом коду. Он је навео:
Права пријетња лежи у могућности да неко стекне овај ниво приступа изворном коду апликације и убризга га злонамерним кодом, а да компанија то не зна.
Акредитиви за АВС су опозвани неколико дана након што је Хуссеин контактирао Самсунг, али није верификовано да ли су тајни кључеви и сертификати имали сличан третман. Као и сада, Самсунг још увек није затворио извештај о рањивости скоро месец дана након што је први пут пријављен. Међутим, на питање за коментар, Зацх Дуган, портпарол Самсунга одговорио је:
Брзо смо опозвали све кључеве и сертификате за пријављену платформу за тестирање и иако још увек нисмо пронашли доказе да је дошло до било каквог спољног приступа, тренутно ово додатно истражујемо.
Према Хуссеин-у, требало је да се повуку приватни кључеви ГитЛаб до 30. априла и он је цитиран рекавши, "Нисам видео овако велику компанију да се бави својом инфраструктуром користећи чудне такве праксе." Када ТецхЦрунцх постављао конкретна питања о инциденту, или као доказ да је то било само за тестирање окружења, Самсунг је одбио.
Ово је само још један пример како правилне безбедносне праксе постају све важније у данашње време док технологија проналази пут у сваки аспект нашег живота.
Практични рад са Гоогле Нест Хуб Мак-ом: Сјајно све у једном за ваш паметни дом
Можемо зарадити провизију за куповину користећи наше везе. Сазнајте више.
Ово су најбоље бежичне слушалице које можете купити по свакој цени!
Најбоље бежичне слушалице су удобне, звуче сјајно, не коштају превише и лако се ставе у џеп.
Све што треба да знате о ПС5: Датум изласка, цена и још много тога.
Сони је званично потврдио да ради на ПлаиСтатион 5. Ево свега што до сада знамо о томе.
Нокиа лансира два нова буџетска Андроид Оне телефона испод 200 долара.
Нокиа 2.4 и Нокиа 3.4 су најновији додаци буџетској линији паметних телефона компаније ХМД Глобал. С обзиром да су оба Андроид Оне уређаја, гарантовано ће добити две главне исправке ОС-а и редовна безбедносна ажурирања до три године.
Осигурајте свој дом овим СмартТхингс звонима и бравама.
Једна од најбољих ствари код СмартТхингс-а је та што можете да користите мноштво других независних уређаја на свом систему, укључујући звона на вратима и браве. Будући да сви они у основи деле исту подршку за СмартТхингс, усредсредили смо се на то који уређаји имају најбоље спецификације и трикове како би оправдали њихово додавање у ваш СмартТхингс арсенал.