突发！三星不慎泄露 SmartThings app 源代码和密钥

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

一名安全研究人员发现，三星工程师使用的一个开发实验室正在泄露多款内部项目（包括 SmartThings 平台在内）高度敏感的源代码、凭证以及密钥信息。

三星将几十个内部变成项目托管在三星所有的域名 Vandev Lab 的 GitLab 实例中。该实例供员工共享并向三星的多种应用程序、服务和项目贡献代码，由于这些项目被设置为“公开”而且并无密码保护，因此导致任何人均可访问并下载源代码。

迪拜网络安全公司 SpiderSilk 公司的研究员 Mossab Hussein 发现了这些被暴露的文件，他表示一个项目中包含的凭证可访问整个所使用的 AWS 账户，包括包含日志和分析数据的100多个 S3存储桶。

Hussein 表示，其中很多文件夹中不仅包含三星 SmartThings 和 Bixby 服务的日志和分析数据，而且还包括以明文形式存储的多名员工被暴露的个人 GitLab 令牌，从而使他能够获取另外42个公开项目到135个项目的访问权限，包括很多私密项目的权限。

三星告知 Hussein 称，其中一些文件用于测试目的，但Hussein 表示从 GitLab 中发现的源代码中包含在4月10日于谷歌应用商店中发布的安卓版本 app 的同样的代码。

这款 app 之后已更新，截至目前的下载量已超过一亿次。

Hussein 表示，他拥有一名用户的私有令牌，能够访问 GitLab 上所有的135个项目，这个令牌本可以让他使用员工自己的账户更改代码。Hussein 已经和 TechCrunch 媒体共享了一些截屏和自己的研究成果视频进行审查和验证。

被暴露的 GitLab 实例同时包括三星 SmartThings iOS 和安卓版本 app 的私有证书。Hussein 还从被暴露的文件中发现了多份内部文档和幻灯片。

他表示，“真正的威胁是，有人可能获得了访问源代码的权限，并在三星不知情的情况下注入恶意代码。”通过被暴露的私钥和令牌，Hussein 记录了大量访问权限，而这些权限如被恶意人员获取，后果将是“灾难性的”。

Hussein 是一名白帽黑客以及数据泄露发现者，他在4月10日将问题告知三星。之后几天内，三星开始撤销 AWS 凭证，但目前尚不知晓剩下的密钥和证书是否也已撤销。

在 Hussein 报告问题之后的近一个月内，三星仍然还未关闭漏洞报告。三星公司的一名发言人 Zach Dugan 表示目前获悉消息后，“我们快速撤销了所报告的测试平台上的密钥和证书，同时我们尚未发现任何外部访问的迹象，目前正在进一步调查此事。”

Hussein 表示，三星在4月30日才撤销了 GitLab 密钥。三星拒绝回答相关的具体问题，而且并未提供证据说明三星所拥有的开发环境用于测试。

Hussein 在报告安全漏洞方面经验丰富。最近他发现硅谷员工喜欢使用的匿名社交网站 Blind 上出现易受攻击的后台数据库，并且发现一台服务器泄露科学期刊巨头 Elsevier 的用户密码列表。

Hussein 表示，三星的这次数据泄露事件是迄今为止他发现的最大规模的泄露事件。他表示，“我尚未见过规模如此大的公司竟然使用这种怪异的实践方法处理自身的基础设施。”

原文链接

https://techcrunch.com/2019/05/08/samsung-source-code-leak/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”。