Geçen ay, Samsung'un sahibi olduğu Vandev Lab için bir GitLab örneğinin, projelerini bir parola ile sağlamadığı keşfedildi. Bu nedenle, çeşitli akıllı telefon uygulamaları, hizmetleri ve projeleri için düzinelerce dahili kodlama projesi halka açılmıştır, bu da popüler akıllı ev ekosistemi SmartThings de dahil olmak üzere Samsung projelerine daha fazla erişim sağlamıştır.
Projeleri bir şifreyle düzgün bir şekilde güvenceye almaksızın, herkese kaynak kodunu görüntüleme, indirme, hatta değişiklik yapma imkanı verdi.
SpiderSilk'ten Mossab Hussein adlı bir güvenlik araştırmacısı, 10 Nisan'da güvenlikteki atlamayı ortaya çıkardı ve Samsung'a bildirdi. Bulgularında, günlükleri ve analitik verileri içeren yüzden fazla S3 depolama kovası dahil tüm AWS hesabına erişebildi.
Kayıtlar ve analizler, SmartThings ve Bixby servisleri gibi Samsung ürünlerini ve ayrıca birçok çalışanın özel GitLab tokenlerini düz metin olarak kapsıyordu. Bu belirteçlerin kullanılmasıyla Hüseyin, 45 ila 135 kamu ve özel projeye erişebildi.
Samsung ile temasa geçtiğinde, Hüseyin’e bazı dosyaların test edilmek üzere olduğu söylendi, ancak Android SmartThings uygulamasının mevcut sürümünün kaynak kodunu bulması hızlı oldu. Ancak, uygulama konuşmalarından bu yana güncellendi.
Bu erişimin en tehlikeli kısmı, GitLab belirteçleriyle Hüseyin'in kodunda değişiklik yapmış olması. Belirtti:
Asıl tehdit, birinin uygulama kaynak koduna bu erişim seviyesini edinmesi ve şirketin haberi olmadan kötü niyetli kod enjekte etmesi olasılığıdır.
AWS kimlik bilgileri, Hüseyin'in Samsung ile temasa geçmesinden birkaç gün sonra iptal edildi, ancak gizli anahtarların ve sertifikaların benzer muamele gördükleri doğrulanmadı. Şu anda olduğu gibi, Samsung, güvenlik açığı raporunu ilk bildirilmesinden neredeyse bir ay sonra kapatmadı. Ancak, bir yorum istendiğinde, bir Samsung sözcüsü Zach Dugan cevap verdi:
Rapor edilen test platformu için tüm anahtarları ve sertifikaları hızla iptal ettik ve herhangi bir dış erişimin gerçekleştiğine dair kanıt bulamadık, ancak şu anda bunu daha da araştırıyoruz.
Hüseyin’e göre, GitLab’ın özel anahtarlarının iptal edilmesi 30 Nisan’a kadar sürdü ve “Bu kadar garip uygulamaları kullanan altyapılarını bu kadar büyük bir şirketle görmedim” dedi. TechCrunch, olayla ilgili özel sorular sorduğunda veya bunun yalnızca test ortamları için olduğunu kanıtladığında, Samsung reddetti.
Bu, teknolojinin hayatımızın her alanına giriştiği günümüzde uygun güvenlik uygulamalarının giderek daha önemli hale gelmesinin bir başka örneği.
Google Nest Hub Max uygulamalı çalışma: Akıllı eviniz için harika bir hepsi bir arada ürün
Bağlantılarımızı kullanarak satın alımlar için komisyon kazanabiliriz. Daha fazla bilgi edin.
