三星泄露了 SmartThings 等应用程序的源代码和密钥

三星工程师运用的开发实验室正在走漏高度灵敏的源代码、凭据和几个内部项目的密钥——包含 SmartThings 渠道。

三星旗下 Vandev Lab 上保管的 GitLab 实例中留下了数十个内部编码项目。该实例被三星职工用来共享和奉献各种三星使用程序、服务和项目代码，因为项目被设置为“揭露”且没有遭到密码保护，因而任何人都可以检查每个项目，拜访并下载源代码。

总部坐落迪拜的网络安全公司 SpiderSilk 的安全研究员 Mossab Hussein 发现了这些走漏的文件，他表明，某个项目包含的证书答应拜访正在运用的整个 AWS 账户，包含 100 多个 S3 存储单元，其间保存了日志和剖析数据。

他指出，许多文件夹包含三星 SmartThings 和 Bixby 服务的日志和剖析数据，还包含以明文方式存储的几个职工的

私有 GitLab 令牌

，这使他可以从 42 个公共项目，以及许多私家项目中取得额定拜访权限。

三星回应称，其间一些文件是用于测验的，但 Hussein 对此提出质疑，他表明，在 GitLab 代码库中发现的源代码与 4 月 10 日在 Google Play 上发布的 Android 使用包含的代码相同。这款使用随后有过晋级，到目前为止

装置量已超越 1 亿次

。

Hussein 供给了多张屏幕截图和视频作为依据。走漏的 GitLab 实例中还包含三星 SmartThings 的 iOS 和 Android 使用的私有证书。

经过走漏的私钥和令牌，Hussein 记录了很多拜访恳求，他说，假如被歹意者取得，成果可能是“灾难性的”。

 

via TechCrunch