0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

三星多个项目源代码泄露 或被注入恶意代码

电子工程师 来源:fqj 2019-05-13 16:48 次阅读

据外媒报道,迪拜网络安全公司SpiderSilk的安全研究员莫萨布·侯赛因(Mossab Hussein)最近发现,三星工程师使用的某开发实验室泄露了其多个内部项目的高度敏感源代码、凭证和密钥,其中包括其SmartThings平台项目。

这家电子巨头将几十个内部编码项目留在了三星旗下实验室Vandev Lab上的GitLab实例中。这个实例被工作人员用来共享三星的各种应用、服务和项目,并为其贡献代码。由于这些项目被设置为“公共”,而且没有用密码进行适当的保护,因此任何人都可以深入查看每个项目的进展,访问和下载源代码,从而导致绝密信息泄露。

侯赛因表示,其中一个项目包含的凭证允许任何人访问三星工程师正在使用的完整AWS帐户,里面包括100多个S3存储桶,其中包含日志和分析数据。

此外,许多文件夹包含三星SmartThings和Bixby服务的日志和分析数据,但也有几名员工公开的、以明文形式存储的私有GitLab令牌,这使得侯赛因能够利用42个公共项目获得的信息对另外135个项目进行访问,包括许多私人项目。

三星表示,其中一些文件是用于测试的,但侯赛因对这一说法提出质疑,称在GitLab存储库中发现的源代码与4月10日在谷歌应用店Google Play上发布的安卓(Android)应用程序包含的代码相同。这个应用程序已经更新过,到目前为止已经安装了1亿多次。

侯赛因还分享了几张其相关发现的截图和一段视频,供人们检查和验证。公开的GitLab实例还包含三星SmartThings的iOS和安卓应用程序的私有证书。

侯赛因还在泄露文件中发现了几份内部文件和幻灯片。他说:“真正的威胁在于有人可能获得对应用程序源代码这种高级别的访问,并在公司不知情的情况下向其注入恶意代码。”

侯赛因还称,通过公开的密匙和令牌,他记录了大量的访问权限,如果被恶意行为者获得,可能会导致“灾难性后果”。

三星多个项目源代码泄露 或被注入恶意代码

在侯赛因首次披露这个问题近一个月后,三星仍未了结侯赛因的漏洞报告。

在接下来的几天里,三星开始撤销AWS凭证,但尚不清楚其余的密钥和凭证是否被吊销。

三星发言人扎克·杜根(Zach Dugan)表示:“最近,一位个人安全研究员报告说,我们一个测试平台的安全奖励计划存在漏洞。我们迅速撤销了其报告测试平台的所有密钥和凭证,虽然我们尚未找到任何外部访问的证据,但我们目前正在对此进行进一步调查。”

侯赛因说,三星直到4月30日才撤销GitLab的私钥。三星拒绝回答具体问题,也没有提供任何证据证明三星拥有的开发环境是用于测试的。

侯赛因称,三星的数据泄露是他迄今最大的发现。他说:“我还没有见过这么大的一家公司使用这种奇怪的做法来处理他们的基础设施。”

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 三星电子
    +关注

    关注

    34

    文章

    15855

    浏览量

    180923
  • 代码
    +关注

    关注

    30

    文章

    4747

    浏览量

    68349

原文标题:三星多个项目源代码泄露,或被注入恶意代码

文章出处:【微信号:news_16rd,微信公众号:一牛网在线】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    国联易安:“个绝招”,让恶意代码辅助检测“稳准快全”

    而绕过检测。 目前,市场上大多数病毒防护系统对很多恶意程序,无法准确检测无法彻底清除。较之其他的恶意程序清除软件,国联易安恶意代码辅助检测系统(主机版)V2.0“使用稳定”、“判断准
    的头像 发表于 11-22 15:47 84次阅读

    Gmapping源代码

    Gmapping源代码.docx
    发表于 11-16 13:42 0次下载

    国联易安:“管齐下”,恶意代码辅助检测“更高效”

    ,自主研发出了符合国家保密局要求的恶意代码检测产品 :国联易安恶意代码辅助检测系统(主机版)V2.0,该系统“管齐下”可以“更高效”地完成检测。 “降低”信息泄露风险。 一些有具有政
    的头像 发表于 11-12 12:03 131次阅读

    三星重获英伟达游戏芯片订单

    据外媒最新报道,三星电子有望重新获得英伟达的未来新款游戏芯片(GPU)制造订单,这一消息为三星的市场前景注入了新的活力。
    的头像 发表于 10-21 18:11 470次阅读

    hex可以转成源代码

    Hex文件可以转换成源代码的近似形式,但无法直接还原为原始的、完全相同的源代码 。这是因为Hex文件是二进制文件,包含了程序编译后的机器码,这些机器码与原始的源代码在结构和表达上存在显著的差异。不过
    的头像 发表于 09-02 10:41 784次阅读

    IP 地址在 SQL 注入攻击中的作用及防范策略

    SQL 注入是通过将恶意的 SQL 代码插入到输入参数中,欺骗应用程序执行这些恶意代码,从而实现对数据库的非法操作。例如,在一个登录表单中,如果输入的用户名
    的头像 发表于 08-05 17:36 268次阅读

    三星电容代理怎么看耐压值?

    三星电容的耐压值可以通过观察电容的型号来识别。在三星电容的型号中,通常会有一组数字字母来表示耐压值。这些代码代表着具体的耐压数值,方便生产和使用者选择。 例如,在型号CL10B103
    的头像 发表于 08-02 15:21 323次阅读
    <b class='flag-5'>三星</b>电容代理怎么看耐压值?

    华企盾防泄密系统让企业源代码更安全

    源代码防泄密是指企业把自己的知识产权,包括源代码、公司竞争战略、新产品、新技术、新业务流程,按照最高保密标准进行保密和管理,以避免其他企业或者竞争对手获取,并可能在短时间内利用其竞争优势。一旦
    的头像 发表于 05-23 11:30 444次阅读

    恶意代码辅助检测系统:“降低、保障、智能”缺一不可

    的基础上,自主研发出了符合国家保密局要求的恶意代码检测产品: 国联易安恶意代码辅助检测系统(主机版)V2.0 。其产品优异性主要集中在以下个方面:        一是“降低”信息泄露
    的头像 发表于 03-28 16:15 467次阅读

    准确识别APT,选对恶意代码检测系统最重要

    通过APT检测出已知和未知恶意代码,提高网络安全主动防御能力,是网络安全解决方案中需要重视的地方。然而,目前业界普通的恶意代码检测系统难以准确识别APT,给政府、企事业单位的安全防护工作带来了极大困惑。
    的头像 发表于 03-12 16:03 395次阅读

    源代码审计怎么做?有哪些常用工具

    。 3、CodeQL:在 CodeQL 中,代码视为数据,安全漏洞则建模为可以对数据库执行的查询语句。 4、SonarQube:是一个用于代码质量管理的开源平台,用于管理
    发表于 01-17 09:35

    智能制造行业--客户现场调试源代码如何防泄密

    我国近几年传统制造向智能制造的转变,很多制造企业不仅有自己公司的图纸文件需要保密,企业的有很多源代码也需要保密,但是对于源代码采用图纸防泄密的方式是不可取的,源代码防泄密比图纸文件防泄密做起来更加
    的头像 发表于 01-11 16:27 455次阅读
    智能制造行业--客户现场调试<b class='flag-5'>源代码</b>如何防泄密

    代码加密与数据加密 代码加密技术和方法

    今天,开发人员和组织面临着恶意行为者窃取其软件程序的持续威胁。不仅如此;今天,威胁行为者可以使用应用程序的源代码使其不可用
    的头像 发表于 12-09 09:29 1275次阅读

    为什么安秉信息的源代码防泄密软件这么稳定?

    现在很多研发性企业都会意识到企业的源代码文件需要防泄密保护,现在很多企业对于源代码只是用了gitsvn版本管理服务器进行了简单的代码统一管控。虽然现在对于
    的头像 发表于 12-05 10:21 508次阅读
    为什么安秉信息的<b class='flag-5'>源代码</b>防泄密软件这么稳定?

    安秉信息源代码图纸防泄密方案,电路图纸,源代码文件

    安秉信息源代码图纸防泄密方案,电路图纸,源代码文件
    发表于 12-01 16:56 0次下载