三星多個項(xiàng)目源代碼泄露 或被注入惡意代碼

據(jù)外媒報(bào)道，迪拜網(wǎng)絡(luò)安全公司SpiderSilk的安全研究員莫薩布·侯賽因(Mossab Hussein)最近發(fā)現(xiàn)，三星工程師使用的某開發(fā)實(shí)驗(yàn)室泄露了其多個內(nèi)部項(xiàng)目的高度敏感源代碼、憑證和密鑰，其中包括其SmartThings平臺項(xiàng)目。

這家電子巨頭將幾十個內(nèi)部編碼項(xiàng)目留在了三星旗下實(shí)驗(yàn)室Vandev Lab上的GitLab實(shí)例中。這個實(shí)例被工作人員用來共享三星的各種應(yīng)用、服務(wù)和項(xiàng)目，并為其貢獻(xiàn)代碼。由于這些項(xiàng)目被設(shè)置為“公共”，而且沒有用密碼進(jìn)行適當(dāng)?shù)谋Ｗo(hù)，因此任何人都可以深入查看每個項(xiàng)目的進(jìn)展，訪問和下載源代碼，從而導(dǎo)致絕密信息泄露。

侯賽因表示，其中一個項(xiàng)目包含的憑證允許任何人訪問三星工程師正在使用的完整AWS帳戶，里面包括100多個S3存儲桶，其中包含日志和分析數(shù)據(jù)。

此外，許多文件夾包含三星SmartThings和Bixby服務(wù)的日志和分析數(shù)據(jù)，但也有幾名員工公開的、以明文形式存儲的私有GitLab令牌，這使得侯賽因能夠利用42個公共項(xiàng)目獲得的信息對另外135個項(xiàng)目進(jìn)行訪問，包括許多私人項(xiàng)目。

三星表示，其中一些文件是用于測試的，但侯賽因?qū)@一說法提出質(zhì)疑，稱在GitLab存儲庫中發(fā)現(xiàn)的源代碼與4月10日在谷歌應(yīng)用店Google Play上發(fā)布的安卓（Android）應(yīng)用程序包含的代碼相同。這個應(yīng)用程序已經(jīng)更新過，到目前為止已經(jīng)安裝了1億多次。

侯賽因還分享了幾張其相關(guān)發(fā)現(xiàn)的截圖和一段視頻，供人們檢查和驗(yàn)證。公開的GitLab實(shí)例還包含三星SmartThings的iOS和安卓應(yīng)用程序的私有證書。

侯賽因還在泄露文件中發(fā)現(xiàn)了幾份內(nèi)部文件和幻燈片。他說：“真正的威脅在于有人可能獲得對應(yīng)用程序源代碼這種高級別的訪問，并在公司不知情的情況下向其注入惡意代碼?！?/p>

侯賽因還稱，通過公開的密匙和令牌，他記錄了大量的訪問權(quán)限，如果被惡意行為者獲得，可能會導(dǎo)致“災(zāi)難性后果”。

在侯賽因首次披露這個問題近一個月后，三星仍未了結(jié)侯賽因的漏洞報(bào)告。

在接下來的幾天里，三星開始撤銷AWS憑證，但尚不清楚其余的密鑰和憑證是否被吊銷。

三星發(fā)言人扎克·杜根(Zach Dugan)表示：“最近，一位個人安全研究員報(bào)告說，我們一個測試平臺的安全獎勵計(jì)劃存在漏洞。我們迅速撤銷了其報(bào)告測試平臺的所有密鑰和憑證，雖然我們尚未找到任何外部訪問的證據(jù)，但我們目前正在對此進(jìn)行進(jìn)一步調(diào)查?！?/p>

侯賽因說，三星直到4月30日才撤銷GitLab的私鑰。三星拒絕回答具體問題，也沒有提供任何證據(jù)證明三星擁有的開發(fā)環(huán)境是用于測試的。

侯賽因稱，三星的數(shù)據(jù)泄露是他迄今最大的發(fā)現(xiàn)。他說：“我還沒有見過這么大的一家公司使用這種奇怪的做法來處理他們的基礎(chǔ)設(shè)施。”