三星泄露SmartThings应用程序源代码和密钥

一名安全研究人员发现，三星工程师使用的开发实验室泄漏了几个内部项目的高度敏感的源代码，凭证和密钥 - 包括其SmartThings应用程序。

这家电子巨头在GitLab上留下了数十个内部项目源码托管在三星旗下的的一个叫Vandev Lab的域名上。该域名是工作人员用来分享和贡献代码到各种三星应用程序，服务和项目代码的，泄漏的数据是因为项目被设置为“公开”并且没有用密码正确保护，允许任何人查看每个项目，访问并下载源代码。

总部位于迪拜的网络安全公司SpiderSilk的安全研究员Mossab Hussein发现了暴露的文件，他说其中一个项目包含的凭据可以访问正在使用的整个AWS账户，包括100多个S3存储桶，其中包含日志和分析数据。

他说，许多文件夹包含了三星SmartThings和Bixby服务的日志和分析数据，还包括以明文形式存储的几个员工的私有GitLab令牌，这使他能够从42个公共项目获得额外的访问权限，并进入135个项目，其中包括许多私人项目。

三星告诉他一些文件是用于测试的，但Hussein对这一说法提出质疑，称GitLab存储库中的源代码与4月10日在Google Play上发布的Android应用程序代码相同。

该应用程序一直在更新，迄今已安装超过1亿次。

“我有一个用户的私人令牌，可以完全访问该GitLab上的所有135个项目，”他说，这可以让他使用一名员工的帐户修改代码。

Hussein分享了几个屏幕截图和一段视频，供TechCrunch检查和验证。

暴露的GitLab实例还包含三星SmartThings的iOS和Android应用程序的私有证书。

Hussein还在暴露的文件中发现了一些内部文档和幻灯片。

他表示，“真正的威胁在于，有人可能获得对应用程序源代码的访问权限，并在公司不知情的情况下向其注入恶意代码。”

通过暴露的私钥和令牌，Hussein获取了大量访问记录，如果被恶意行为者获得，可能会造成“灾难性的”后果，他说。

公开的AWS凭证的屏幕截图，允许使用GitLab私有令牌访问存储桶

Hussein是一名白帽黑客和数据泄露发现者，于4月10日向三星报告了这一发现。在接下来的几天里，三星开始撤销AWS凭证，但尚不清楚其余的密钥和证书是否已被撤销。

在他首次披露该问题后近一个月，三星仍然没有关闭Hussein的漏洞报告。

“最近，一位安全研究人员通过我们的安全奖励计划报告了一个关于我们的测试平台的漏洞，”三星发言人Zach Dugan在本文发表前告知TechCrunch。“我们很快撤销了所报告的测试平台的所有密钥和证书，虽然我们尚未找到任何外部访问发生的证据，但我们目前正在进一步调查此事。”

Hussein表示，三星要到4月30日才撤销GitLab私钥。三星也拒绝回答我们提出的具体问题，也没有提供任何证据表明三星拥有的开发环境用于测试的。

Hussein对报告安全漏洞并不陌生。最近，他在硅谷员工中很受欢迎的匿名社交网站Blind上披露了一个脆弱的后端数据库，还发现一个服务器泄露了科学期刊巨头爱思唯尔(Elsevier)的一系列用户密码。

他说，三星的数据泄漏是他迄今为止发现的最大的一起。

“我没有见过这么大的公司使用这种奇怪的做法来处理他们的基础设施，”他说。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://techcrunch.com/2019/05/08/samsung-source-code-leak/