先月、Samsungが所有するVandev LabのGitLabインスタンスがパスワードでプロジェクトを保護していないことが発見されました。 そのため、さまざまなサムスンのアプリ、サービス、およびプロジェクトの多数の内部コーディングプロジェクトが公開され、人気のあるスマートホームエコシステムSmartThingsを含むサムスンプロジェクトへのアクセスがさらに提供されました。
パスワードでプロジェクトを適切に保護することなく、誰でもソースコードを表示、ダウンロード、または変更することができます。
Mossab Husseinという名前のSpiderSilkのセキュリティ研究者は、4月10日にセキュリティの問題を発見し、サムスンに報告しました。 彼の調査結果では、ログと分析データを含む100を超えるS3ストレージバケットを含むAWSアカウント全体にアクセスできました。
ログと分析は、SmartThingsやBixbyサービスなどのサムスン製品、およびプレーンテキストの複数の従業員のプライベートGitLabトークンを対象としました。 これらのトークンを使用することで、フセインは45〜135のパブリックおよびプライベートプロジェクトにアクセスできました。
彼がサムスンに連絡したとき、フセインはいくつかのファイルがテスト用であると言われましたが、彼はAndroid SmartThingsアプリの現在のバージョンのソースコードが存在することをすぐに指摘しました。 ただし、会話以降、アプリは更新されています。
このアクセスの最も危険な部分は、GitLabトークンを使用すると、フセインがSamsungのコードを変更できた可能性があることです。 彼は言いました:
本当の脅威は、誰かがアプリケーションソースコードへのこのレベルのアクセス権を取得し、会社に気付かれずに悪意のあるコードを注入する可能性にあります。
フセインがサムスンに連絡した数日後にAWS認証情報は取り消されましたが、秘密鍵と証明書が同様の扱いを受けたかどうかは検証されていません。 現在のところ、Samsungは脆弱性レポートが最初に報告されてからほぼ1か月経ってもまだ脆弱性レポートを閉じていません。 しかし、コメントを求められたとき、サムスンのスポークスマンであるザック・デュガンは答えた:
報告されたテストプラットフォームのすべてのキーと証明書をすぐに失効させました。外部アクセスが発生したという証拠はまだ見つかっていませんが、現在さらに調査しています。
フセインによると、GitLab秘密鍵が取り消されるまで4月30日までかかり、「このような大きな会社がそのような奇妙なプラクティスを使用してインフラストラクチャを処理しているのを見たことがありません」と述べています。 TechCrunchがインシデントについて特定の質問をしたとき、または証拠がテスト環境専用であったことを証明したとき、Samsungは辞退しました。
これは、テクノロジーが私たちの生活のあらゆる面に浸透するにつれて、適切なセキュリティ対策がますます重要になっていることの別の例にすぎません。
Google Nest Hub Maxの実践:スマートホームに最適なオールインワン
リンクを使用して、購入の手数料を獲得する場合があります。 もっと詳しく知る。
