• IT-Karriere:
  • Services:

Samsung: Forscher konnte auf Entwicklungsumgebung zugreifen

Zugangsdaten, Zertifikate, Tokens, Schlüssel und Quellcode: Ein Sicherheitsforscher fand eine öffentlich zugängliche Gitlab-Installation von Samsung - und hätte selbst den Softwarecode ändern können.

Artikel veröffentlicht am ,
Die Sicherheit von Samsungs Entwicklungsumgebung ist brüchig.
Die Sicherheit von Samsungs Entwicklungsumgebung ist brüchig. (Bild: Kote Puerto/Unsplash)

Ein Sicherheitsforscher konnte auf etliche Softwareprojekte von Samsung zugreifen. Diese wurden in einer öffentlich zugänglichen Gitlab-Instanz unter einer eigenen Domain betrieben. Neben dem Quellcode fand der Sicherheitsforscher Mossab Hussein laut dem Onlinemagazin Techcrunch auch Zugangsdaten, Zertifikate, Tokens und Schlüssel, mit denen er sich Zugriff auf Analyse- und Log-Daten verschaffen sowie den Code verändern konnte.

Stellenmarkt
  1. Landkreis Märkisch-Oderland, Seelow
  2. über Dr. Heimeier & Partner Management- und Personalberatung GmbH, Süddeutschland

Die Gitlab-Installation von Samsung war, wie viele der dort gehosteten Softwareprojekte, öffentlich einsehbar. Neben dem Quellcode verschiedener Softwareprojekte konnte der Sicherheitsforscher auch Zugangsdaten zu Samsungs AWS-Konto in der Gitlab-Instanz entdecken. Zu dem Konto gehören über 100 S3-Buckets, in denen Logs und Analysedaten von Samsung gespeichert werden. Darunter seien auch viele Daten von Samsungs Smart-Home-System Smarthings und dem Sprachassistenten Bixby.

Der Sicherheitsforscher habe zudem Zugriff auf in Gitlab abgelegte private Tokens der Mitarbeiter gehabt. Über die Tokens konnte der Sicherheitsforscher auch auf etliche private Softwareprojekte zugreifen. Insgesamt habe er Zugriff auf 135 Softwareprojekte gehabt, erklärt Hussein.

Samsungs Software verändern

Über die Zugänge hätte der Sicherheitsforscher auch Änderungen am Code vornehmen können - im Namen anderer Nutzer. Laut Techcrunch erklärte Samsung zwar, dass es sich bei den Softwareprojekten nur um Dateien zum Testen handle, der Sicherheitsforscher habe jedoch festgestellt, dass die am 10. April 2019 veröffentlichte Android-App Smarthings von Samsung den gleichen Code verwende, der auch in Gitlab hinterlegt sei. Laut Googles Play Store wurde die App über 100 Millionen Mal installiert. Auch die Zertifikate der iOS- und Android-App fanden sich in der Gitlab-Installation von Samsung.

"Die eigentliche Gefahr liegt darin, dass jemand die Möglichkeit hatte, derart weitreichenden Zugriff auf den Quellcode der Applikationen zu erhalten und Schadcode einfügen konnte, ohne dass die Firma es bemerkt", kommentiert Hussein auf Techcrunch.

Am 10. April 2019 meldete der Sicherheitsforscher seinen Fund an Samsung, das die AWS-Zugangsdaten zurücksetzte. Ob auch die Zertifikate und Schlüssel zurückgesetzt wurden, ist unbekannt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (heute u. a. Laptops, Gaming-Zubehör, Samsung-TVs, Drohnen, Smart Home Produkte)
  2. (u. a. 55 Zoll ab 449,99€)

ChiakiAccess 10. Mai 2019

Manchmal ist ein "richtiger" Titel auch einfach clickbaitig genug. (Geiles Wort)


Folgen Sie uns
       


Pocketalk Übersetzer - Test

Mit dem Pocketalk können wir gesprochene Sätze in eine andere Sprache übersetzen lassen. Im Test funktioniert das gut, allerdings macht Pocketalk auch nicht viel mehr als gängige und kostenlose Übersetzungs-Apps.

Pocketalk Übersetzer - Test Video aufrufen
Elektroschrott: Kauft keine kleinen Konsolen!
Elektroschrott
Kauft keine kleinen Konsolen!

Ich bin ein Fan von Retro. Und ein Fan von Games. Und ich habe den kleinen Plastikschachteln mit ihrer schlechten Umweltbilanz wirklich eine Chance gegeben. Aber es hilft alles nichts.
Ein IMHO von Martin Wolf

  1. IMHO Porsche prescht beim Preis übers Ziel hinaus
  2. Gaming Konsolenkrieg statt Spielestreaming

Netzwerke: Warum 5G nicht das bessere Wi-Fi ist
Netzwerke
Warum 5G nicht das bessere Wi-Fi ist

5G ist mit großen Marketing-Versprechungen verbunden. Doch tatsächlich wird hier mit immensem technischem und finanziellem Aufwand überwiegend das umgesetzt, was Wi-Fi bereits kann - ohne dessen Probleme zu lösen.
Eine Analyse von Elektra Wagenrad

  1. Rechenzentren 5G lässt Energiebedarf stark ansteigen
  2. Hamburg Telekom startet 5G in weiterer Großstadt
  3. Campusnetze Bisher nur sechs Anträge auf firmeneigenes 5G-Netz

Medizin: Updateprozess bei Ärztesoftware Quincy war ungeschützt
Medizin
Updateprozess bei Ärztesoftware Quincy war ungeschützt

In einer Software für Arztpraxen ist der Updateprozess ungeschützt über eine Rsync-Verbindung erfolgt. Der Hersteller der Software versucht, Berichterstattung darüber zu verhindern.
Ein Bericht von Hanno Böck

  1. Tracking TK arbeitet nicht mehr mit Ada zusammen
  2. Projekt Nightingale Google wertet Daten von Millionen US-Patienten aus
  3. Digitale Versorgung Ärzte dürfen Apps verschreiben

    •  /