0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

三星多个项目源代码泄露 或被注入恶意代码

电子工程师 来源:fqj 2019-05-13 16:48 次阅读

据外媒报道,迪拜网络安全公司SpiderSilk的安全研究员莫萨布·侯赛因(Mossab Hussein)最近发现,三星工程师使用的某开发实验室泄露了其多个内部项目的高度敏感源代码、凭证和密钥,其中包括其SmartThings平台项目。

这家电子巨头将几十个内部编码项目留在了三星旗下实验室Vandev Lab上的GitLab实例中。这个实例被工作人员用来共享三星的各种应用、服务和项目,并为其贡献代码。由于这些项目被设置为“公共”,而且没有用密码进行适当的保护,因此任何人都可以深入查看每个项目的进展,访问和下载源代码,从而导致绝密信息泄露。

侯赛因表示,其中一个项目包含的凭证允许任何人访问三星工程师正在使用的完整AWS帐户,里面包括100多个S3存储桶,其中包含日志和分析数据。

此外,许多文件夹包含三星SmartThings和Bixby服务的日志和分析数据,但也有几名员工公开的、以明文形式存储的私有GitLab令牌,这使得侯赛因能够利用42个公共项目获得的信息对另外135个项目进行访问,包括许多私人项目。

三星表示,其中一些文件是用于测试的,但侯赛因对这一说法提出质疑,称在GitLab存储库中发现的源代码与4月10日在谷歌应用店Google Play上发布的安卓(Android)应用程序包含的代码相同。这个应用程序已经更新过,到目前为止已经安装了1亿多次。

侯赛因还分享了几张其相关发现的截图和一段视频,供人们检查和验证。公开的GitLab实例还包含三星SmartThings的iOS和安卓应用程序的私有证书。

侯赛因还在泄露文件中发现了几份内部文件和幻灯片。他说:“真正的威胁在于有人可能获得对应用程序源代码这种高级别的访问,并在公司不知情的情况下向其注入恶意代码。”

侯赛因还称,通过公开的密匙和令牌,他记录了大量的访问权限,如果被恶意行为者获得,可能会导致“灾难性后果”。

三星多个项目源代码泄露 或被注入恶意代码

在侯赛因首次披露这个问题近一个月后,三星仍未了结侯赛因的漏洞报告。

在接下来的几天里,三星开始撤销AWS凭证,但尚不清楚其余的密钥和凭证是否被吊销。

三星发言人扎克·杜根(Zach Dugan)表示:“最近,一位个人安全研究员报告说,我们一个测试平台的安全奖励计划存在漏洞。我们迅速撤销了其报告测试平台的所有密钥和凭证,虽然我们尚未找到任何外部访问的证据,但我们目前正在对此进行进一步调查。”

侯赛因说,三星直到4月30日才撤销GitLab的私钥。三星拒绝回答具体问题,也没有提供任何证据证明三星拥有的开发环境是用于测试的。

侯赛因称,三星的数据泄露是他迄今最大的发现。他说:“我还没有见过这么大的一家公司使用这种奇怪的做法来处理他们的基础设施。”

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 三星电子
    +关注

    关注

    34

    文章

    15843

    浏览量

    180852
  • 代码
    +关注

    关注

    30

    文章

    4717

    浏览量

    68196

原文标题:三星多个项目源代码泄露,或被注入恶意代码

文章出处:【微信号:news_16rd,微信公众号:一牛网在线】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    三星重获英伟达游戏芯片订单

    据外媒最新报道,三星电子有望重新获得英伟达的未来新款游戏芯片(GPU)制造订单,这一消息为三星的市场前景注入了新的活力。
    的头像 发表于 10-21 18:11 435次阅读

    hex可以转成源代码

    Hex文件可以转换成源代码的近似形式,但无法直接还原为原始的、完全相同的源代码 。这是因为Hex文件是二进制文件,包含了程序编译后的机器码,这些机器码与原始的源代码在结构和表达上存在显著的差异。不过
    的头像 发表于 09-02 10:41 614次阅读

    IP 地址在 SQL 注入攻击中的作用及防范策略

    SQL 注入是通过将恶意的 SQL 代码插入到输入参数中,欺骗应用程序执行这些恶意代码,从而实现对数据库的非法操作。例如,在一个登录表单中,如果输入的用户名
    的头像 发表于 08-05 17:36 243次阅读

    三星电容代理怎么看耐压值?

    三星电容的耐压值可以通过观察电容的型号来识别。在三星电容的型号中,通常会有一组数字字母来表示耐压值。这些代码代表着具体的耐压数值,方便生产和使用者选择。 例如,在型号CL10B103
    的头像 发表于 08-02 15:21 291次阅读
    <b class='flag-5'>三星</b>电容代理怎么看耐压值?

    华企盾防泄密系统让企业源代码更安全

    源代码防泄密是指企业把自己的知识产权,包括源代码、公司竞争战略、新产品、新技术、新业务流程,按照最高保密标准进行保密和管理,以避免其他企业或者竞争对手获取,并可能在短时间内利用其竞争优势。一旦
    的头像 发表于 05-23 11:30 425次阅读

    企业如何保护源代码安全?做好源代码防泄密工作

    出现了相似相同功能的产品。这无疑引发了企业管理者们对于企业源代码数据泄漏的深深忧虑。 许多企业错误地认为,只要采用了版本管理工具如GitSVN,代码安全问题就得到了保障。然而,事实
    的头像 发表于 05-22 16:01 406次阅读

    【开源鸿蒙】下载OpenHarmony 4.1 Release源代码

    本文介绍了如何下载开源鸿蒙(OpenHarmony)操作系统 4.1 Release版本的源代码,该方法同样可以用于下载OpenHarmony最新开发版本(master分支)或者4.0 Release、3.2 Release等发布版本的源代码
    的头像 发表于 04-27 23:16 757次阅读
    【开源鸿蒙】下载OpenHarmony 4.1 Release<b class='flag-5'>源代码</b>

    企业源代码防泄密解决方案如何做才能做好?

    源代码图纸复制一份,这是每一个研发人员心照不宣的事情。那么如何对企业核心文件进行防泄密保护呢? 在这里我们重点聊一下企业源代码防泄密方案。如果企业的源代码被发送
    的头像 发表于 04-24 11:57 333次阅读

    恶意代码辅助检测系统:“降低、保障、智能”缺一不可

    的基础上,自主研发出了符合国家保密局要求的恶意代码检测产品: 国联易安恶意代码辅助检测系统(主机版)V2.0 。其产品优异性主要集中在以下个方面:        一是“降低”信息泄露
    的头像 发表于 03-28 16:15 452次阅读

    准确识别APT,选对恶意代码检测系统最重要

    通过APT检测出已知和未知恶意代码,提高网络安全主动防御能力,是网络安全解决方案中需要重视的地方。然而,目前业界普通的恶意代码检测系统难以准确识别APT,给政府、企事业单位的安全防护工作带来了极大困惑。
    的头像 发表于 03-12 16:03 376次阅读

    源代码审计怎么做?有哪些常用工具

    。 3、CodeQL:在 CodeQL 中,代码视为数据,安全漏洞则建模为可以对数据库执行的查询语句。 4、SonarQube:是一个用于代码质量管理的开源平台,用于管理
    发表于 01-17 09:35

    智能制造行业--客户现场调试源代码如何防泄密

    我国近几年传统制造向智能制造的转变,很多制造企业不仅有自己公司的图纸文件需要保密,企业的有很多源代码也需要保密,但是对于源代码采用图纸防泄密的方式是不可取的,源代码防泄密比图纸文件防泄密做起来更加
    的头像 发表于 01-11 16:27 417次阅读
    智能制造行业--客户现场调试<b class='flag-5'>源代码</b>如何防泄密

    代码加密与数据加密 代码加密技术和方法

    今天,开发人员和组织面临着恶意行为者窃取其软件程序的持续威胁。不仅如此;今天,威胁行为者可以使用应用程序的源代码使其不可用
    的头像 发表于 12-09 09:29 1232次阅读

    为什么安秉信息的源代码防泄密软件这么稳定?

    现在很多研发性企业都会意识到企业的源代码文件需要防泄密保护,现在很多企业对于源代码只是用了gitsvn版本管理服务器进行了简单的代码统一管控。虽然现在对于
    的头像 发表于 12-05 10:21 494次阅读
    为什么安秉信息的<b class='flag-5'>源代码</b>防泄密软件这么稳定?

    安秉信息源代码图纸防泄密方案,电路图纸,源代码文件

    安秉信息源代码图纸防泄密方案,电路图纸,源代码文件
    发表于 12-01 16:56 0次下载