Im vergangenen Monat wurde festgestellt, dass eine GitLab-Instanz für Vandev Lab, deren Eigentümer Samsung ist, ihre Projekte nicht mit einem Kennwort gesichert hat. Aus diesem Grund wurden Dutzende interner Codierungsprojekte für verschiedene Samsung-Apps, -Dienste und -Projekte öffentlich zugänglich gemacht, was wiederum weiteren Zugriff auf Samsung-Projekte ermöglichte, einschließlich des beliebten Smart-Home-Ökosystems SmartThings.
Ohne die Projekte ordnungsgemäß mit einem Kennwort zu sichern, konnte jeder den Quellcode anzeigen, herunterladen oder sogar Änderungen vornehmen.
Ein Sicherheitsforscher von SpiderSilk namens Mossab Hussein deckte die Sicherheitslücke am 10. April auf und meldete sie Samsung. In seinen Ergebnissen hatte er Zugriff auf das gesamte AWS-Konto, einschließlich über hundert S3-Speichereimer mit Protokollen und Analysedaten.
Die Protokolle und Analysen umfassten Samsung-Produkte wie SmartThings und Bixby-Services sowie die privaten GitLab-Token mehrerer Mitarbeiter in Klartext. Mit diesen Token konnte Hussein auf 45 bis 135 öffentliche und private Projekte zugreifen.
Als er sich an Samsung wandte, wurde Hussein mitgeteilt, dass einige der Dateien zum Testen bestimmt seien, er wies jedoch schnell darauf hin, dass der Quellcode für die aktuelle Version der Android SmartThings-App vorhanden sei. Die App wurde jedoch seit ihrem Gespräch aktualisiert.
Der gefährlichste Teil dieses Zugriffs ist, dass Hussein mit den GitLab-Token möglicherweise Änderungen am Code von Samsung vorgenommen hat. Er erklärte:
Die eigentliche Bedrohung liegt in der Möglichkeit, dass jemand diese Zugriffsebene auf den Quellcode der Anwendung erwirbt und bösartigen Code einfügt, ohne dass das Unternehmen dies weiß.
Die AWS-Anmeldeinformationen wurden einige Tage, nachdem Hussein sich an Samsung gewandt hatte, widerrufen. Es wurde jedoch nicht überprüft, ob die geheimen Schlüssel und Zertifikate eine ähnliche Behandlung erfahren haben. Derzeit hat Samsung den Schwachstellenbericht fast einen Monat nach seiner erstmaligen Meldung noch nicht geschlossen. Auf die Frage nach einem Kommentar antwortete Zach Dugan, ein Samsung-Sprecher:
Wir haben alle Schlüssel und Zertifikate für die gemeldete Testplattform schnell widerrufen, und obwohl wir noch keine Beweise dafür gefunden haben, dass ein externer Zugriff stattgefunden hat, untersuchen wir dies derzeit weiter.
Laut Hussein dauerte es bis zum 30. April, bis die privaten GitLab-Schlüssel widerrufen wurden, und er wird zitiert: "Ich habe noch kein Unternehmen gesehen, das so groß mit seiner Infrastruktur umgegangen ist und solche seltsamen Praktiken angewandt hat." Wenn TechCrunch bestimmte Fragen zu dem Vorfall stellte oder nur zu Testzwecken diente, lehnte Samsung ab.
Dies ist nur ein weiteres Beispiel dafür, wie angemessene Sicherheitspraktiken heutzutage immer wichtiger werden, da Technologie in jeden Aspekt unseres Lebens Einzug hält.
Google Nest Hub Max zum Anfassen: Ein großartiges All-in-One-Gerät für Ihr Smart Home
Für Einkäufe über unsere Links können wir eine Provision verdienen. Mehr erfahren.
