三星多個項目源代碼泄露 或被注入惡意代碼

據(jù)外媒報道，迪拜網(wǎng)絡安全公司SpiderSilk的安全研究員莫薩布·侯賽因(Mossab Hussein)最近發(fā)現(xiàn)，三星工程師使用的某開發(fā)實驗室泄露了其多個內部項目的高度敏感源代碼、憑證和密鑰，其中包括其SmartThings平臺項目。

這家電子巨頭將幾十個內部編碼項目留在了三星旗下實驗室Vandev Lab上的GitLab實例中。這個實例被工作人員用來共享三星的各種應用、服務和項目，并為其貢獻代碼。由于這些項目被設置為“公共”，而且沒有用密碼進行適當?shù)谋Ｗo，因此任何人都可以深入查看每個項目的進展，訪問和下載源代碼，從而導致絕密信息泄露。

侯賽因表示，其中一個項目包含的憑證允許任何人訪問三星工程師正在使用的完整AWS帳戶，里面包括100多個S3存儲桶，其中包含日志和分析數(shù)據(jù)。

此外，許多文件夾包含三星SmartThings和Bixby服務的日志和分析數(shù)據(jù)，但也有幾名員工公開的、以明文形式存儲的私有GitLab令牌，這使得侯賽因能夠利用42個公共項目獲得的信息對另外135個項目進行訪問，包括許多私人項目。

三星表示，其中一些文件是用于測試的，但侯賽因對這一說法提出質疑，稱在GitLab存儲庫中發(fā)現(xiàn)的源代碼與4月10日在谷歌應用店Google Play上發(fā)布的安卓（Android）應用程序包含的代碼相同。這個應用程序已經(jīng)更新過，到目前為止已經(jīng)安裝了1億多次。

侯賽因還分享了幾張其相關發(fā)現(xiàn)的截圖和一段視頻，供人們檢查和驗證。公開的GitLab實例還包含三星SmartThings的iOS和安卓應用程序的私有證書。

侯賽因還在泄露文件中發(fā)現(xiàn)了幾份內部文件和幻燈片。他說：“真正的威脅在于有人可能獲得對應用程序源代碼這種高級別的訪問，并在公司不知情的情況下向其注入惡意代碼。”

侯賽因還稱，通過公開的密匙和令牌，他記錄了大量的訪問權限，如果被惡意行為者獲得，可能會導致“災難性后果”。

在侯賽因首次披露這個問題近一個月后，三星仍未了結侯賽因的漏洞報告。

在接下來的幾天里，三星開始撤銷AWS憑證，但尚不清楚其余的密鑰和憑證是否被吊銷。

三星發(fā)言人扎克·杜根(Zach Dugan)表示：“最近，一位個人安全研究員報告說，我們一個測試平臺的安全獎勵計劃存在漏洞。我們迅速撤銷了其報告測試平臺的所有密鑰和憑證，雖然我們尚未找到任何外部訪問的證據(jù)，但我們目前正在對此進行進一步調查?！?/p>

侯賽因說，三星直到4月30日才撤銷GitLab的私鑰。三星拒絕回答具體問題，也沒有提供任何證據(jù)證明三星擁有的開發(fā)環(huán)境是用于測試的。

侯賽因稱，三星的數(shù)據(jù)泄露是他迄今最大的發(fā)現(xiàn)。他說：“我還沒有見過這么大的一家公司使用這種奇怪的做法來處理他們的基礎設施?！?/p>