三星多个内部项目敏感源代码泄露 或在不知情时被注入恶意代码

2019-07-12 13:39:12 中文科技资讯 分享

维序者 淮上 www.wyham.com.cn jgC中文科技资讯

  5月9日消息,据外媒报道,迪拜网络安全公司SpiderSilk的安全研究员莫萨布·侯赛因(Mossab Hussein)最近发现,三星工程师使用的某开发实验室泄露了其多个内部项目的高度敏感源代码、凭证和密钥,其中包括其SmartThings平台项目。jgC中文科技资讯

  这家电子巨头将几十个内部编码项目留在了三星旗下实验室Vandev Lab上的GitLab实例中。这个实例被工作人员用来共享三星的各种应用、服务和项目,并为其贡献代码。由于这些项目被设置为“公共”,而且没有用密码进行适当的?;?,因此任何人都可以深入查看每个项目的进展,访问和下载源代码,从而导致绝密信息泄露。jgC中文科技资讯

  侯赛因表示,其中一个项目包含的凭证允许任何人访问三星工程师正在使用的完整AWS帐户,里面包括100多个S3存储桶,其中包含日志和分析数据。jgC中文科技资讯

  此外,许多文件夹包含三星SmartThings和Bixby服务的日志和分析数据,但也有几名员工公开的、以明文形式存储的私有GitLab令牌,这使得侯赛因能够利用42个公共项目获得的信息对另外135个项目进行访问,包括许多私人项目。jgC中文科技资讯

  三星宣称,其中一些文件是用于测试的,但侯赛因对这一说法提出质疑,称在GitLab存储库中发现的源代码与4月10日在谷歌应用店Google Play上发布的安卓(Android)应用程序包含的代码相同。jgC中文科技资讯

  这个应用程序已经更新过,到目前为止已经安装了1亿多次。侯赛因称:“我有一个用户的私密令牌,完全可以访问GitLab上所有的135个项目。”这可能允许他使用工作人员的帐户进行代码更改。jgC中文科技资讯

  侯赛因还分享了几张其相关发现的截图和一段视频,供人们检查和验证。公开的GitLab实例还包含三星SmartThings的iOS和安卓应用程序的私有证书。jgC中文科技资讯

  侯赛因还在泄露文件中发现了几份内部文件和幻灯片。他说:“真正的威胁在于有人可能获得对应用程序源代码这种高级别的访问,并在公司不知情的情况下向其注入恶意代码。”jgC中文科技资讯

声明:本站部分资源来源于网络,版权归原作者或者来源机构所有,如作者或来源机构不同意本站转载采用,请通知我们,我们将第一时间删除内容。本站刊载文章出于传递更多信息之目的,所刊文章观点仅代表作者本人观点,并不意味着本站赞同作者观点或证实其描述,其原创性及对文章内容的真实性、完整性、及时性本站亦不作任何保证或承诺,请读者仅作参考。
编辑:
  • 蜜宠哑妈咪_对手惊讶郑智落选国足:奇怪你们的队长不能踢?
  • 飞天女童_美法官扩大\"近亲\"范围 特朗普旅行禁令再遇打击
  • 360sousuo_亚马逊或将落户悉尼西部 地面工程尚未进行
  • 书旗免费小说_状元大嘴险引崛起豪强内讧 队友妙语化解尴尬
  • 白举刚_黄博文发海报欢迎穆里奇回归 鸡爷却送他这俩字
  • 妻主是狐妖_历史课|乒球全锦赛比奥运还难 刘国梁从未夺冠
  • 蛇酒有毒吗_张名雅知谁是红包风波内鬼 陈庭欣:不是我
  • sougouditu_摩泽尔公开赛蒂姆逆转西蒙 本赛季第6次闯入决赛
  • 旗卷天下_吴宗宪红唇眼线鬼马搞怪 网友大呼辣眼睛
  • 江山风月剑全文目录_《全世界》3天2.3亿!邓超拍戏太拼险受伤
  • 贝多芬的悲伤简谱_甜馨探班李小璐为其庆生 合影惊现薛之谦
  • 全本小说下载_女子日巡21世纪赛穴井诗夺冠 潘艳红并列45位
  • 大浴女在线阅读_郑商所支持8省区开展“保险+期货”试点
  • 人人小说阅读器_农民工子女的暑假:没钱补习出去玩 困在出租屋
  • 北京有个金太阳简谱_测试遇问题 LG推后发布移动支付业务