Samsung fuite de code source de projet interne plus sensible, ou affectant cent millions d'utilisateurs

� Si vous aimez Samsung faire t�t sont mis rouge! �

Maison voulait une maison, dit tintement: Samsung cette ann�e est en effet un peu en arri�re, premi�re porte d'explosion S7 deux jours la valeur de march� �vapor� 20 milliards $, puis t�l�phone � �cran de pliage a �t� attribu�e � la qualit�, mais hors la date de sortie a d� �tre report�e.

Ils disent que les gens boivent de l'eau dents thioph�niques chance semble fournisseurs, aussi. Cela ne signifie pas, en profitant d'un petit retour fr�re, mais aussi � venir � un retour hacker ~ dig:

Selon Techcrunch a rapport�, Spidersilk trouv� le code source sensible et applications cl�s telles que Samsung SmartThings �t� divulgu�s, AWS de stockage compte, journal, l'analyse des donn�es, etc. sont divulgu�s.

Dieu fait le couteau ......

Une pluralit� de fuite code source sensible

la s�curit� Spidersilk chercheur Mossab Hussein a trouv� le fichier expos�, les informations d'identification de est utilis� un projet contient permet � l'int�gralit� d'un compte AWS acc�s, qui comprend plus de 100 S3 r�f�rentiel contient le journal et analyser les donn�es.

Apr�s avoir identifi� le probl�me, Spidersilk premi�re fois la situation a �t� signal� � Samsung. Samsung a r�pondu que certains des documents divulgu�s uniquement pour des tests internes, ne porte pas atteinte � l'exp�rience de l'utilisateur.

� cet �gard, Hussein oppos�. Il a dit le contenu des documents ci-dessus divulgu�s, y compris le stockage de plusieurs employ�s dans le jeton est clair gitlab ce priv� expos�, qui permet � un attaquant d'obtenir un acc�s suppl�mentaire au public de 42 projets � 135 projets, ceux-ci comprennent de nombreux projets priv�s.

� Ce qui est plus inqui�tant est que ces fichiers si j'ai quelques membres du personnel interne des jetons priv�s. Je peux l'utiliser pour acc�der � tous les 135 articles sur la gitlab ce, je ne m�me pas libre de modifier le code pour le compte, le laisser devenir mon chose ".

l'application SmartThings ou �tre affect�s

Donc, cet incident n'affectera pas les consommateurs?

Hussein a d�clar� que Samsung a laiss� des dizaines d'exemples de projets de codage interne est h�berg� sur le domaine Vandev Lab Samsung ont le personnel ici pour partager et contribuer � une vari�t� d'applications sur Samsung gitlab ce. Parce que le projet est r�gl� sur � public � et n'est pas prot�g� par un mot de passe correctement, ce qui permet � quiconque de visualiser chaque projet, l'acc�s et t�l�charger le code source.

Dans ces cas gitlab ce expos�, le Samsung comprend �galement un certificat priv� SmartThings applications iOS et Android. Hussein a partag� quelques captures d'�cran et une vid�o de sa d�couverte, d'inspection et de v�rification pour TechCrunch.

Capture d'�cran AWS publique des informations d'identification, ce qui permet l'utilisation du r�f�rentiel d'acc�s jeton priv� gitlab ce

� Je trouve ces fichiers dans le dossier � �tre expos� dans le journal et l'analyse des donn�es comprend Samsung SmartThings Bixby et des services. J'ai �t� expos� � un fichier trouv� dans plusieurs documents internes et des diapositives. Par cons�quent, la menace r�elle est qu'un attaquant il y a ceux qui peuvent avoir acc�s au code source de l'application, et d'injecter du code malveillant dans la connaissance de la soci�t� ".

analyse de Spidersilk, actuellement dans le d�p�t a �t� divulgu� d�j� enregistr� un grand nombre de visites, si les mauvais acteurs se peut avoir des cons�quences � catastrophiques �.

Bien que Samsung a dit le contenu que pour le test fuite interne, mais Hussein a �t� trouv�, en fait une fuite avec d�p�t gitlab ce code source Android contient le m�me code, l'application publi�e sur Google Play le 10 Avril. � l'heure actuelle, l'application a �t� mis � jour plusieurs fois, la capacit� install�e � ce jour de plus de cent millions.

Les applications ici, se r�f�re sans doute au client bas� iOS et Android SmartThings. C'est la maison intelligente Samsung et consommateur de choses � construire une plate-forme ouverte. Sa plate-forme cloud construit moyeu et les applications clientes, appareil domestique intelligent est des solutions connect�es.

Hussein a d�clar� que la fuite de donn�es de Samsung est le plus grand que j'ai jamais trouv�, je ne l'ai pas vu ces entreprises fa�ons �tranges utilisent pour g�rer leur infrastructure. De l'autre c�t�, dans les prochains jours, Samsung a commenc� � retirer les informations d'identification AWS, mais ne sais pas si le reste des cl�s et des certificats qui ont �t� r�voqu�s.

Samsung porte-parole Zach Dugan (Zach Dugan) a dit: Il a �t� fait un accord pour un cas signal�s, mais cela est encore sous enqu�te. "

R�f�rence Source: Techcrunch Lei Feng Lei Feng Lei r�seau de r�seau de r�seau Feng

Route de la soie

Apprenez � conna�tre la Chine

Samsung fuite de code source de projet interne plus sensible, ou affectant cent millions d'utilisateurs