Abo
  • IT-Karriere:

Samsung: Forscher konnte auf Entwicklungsumgebung zugreifen

Zugangsdaten, Zertifikate, Tokens, Schlüssel und Quellcode: Ein Sicherheitsforscher fand eine öffentlich zugängliche Gitlab-Installation von Samsung - und hätte selbst den Softwarecode ändern können.

Artikel veröffentlicht am ,
Die Sicherheit von Samsungs Entwicklungsumgebung ist brüchig.
Die Sicherheit von Samsungs Entwicklungsumgebung ist brüchig. (Bild: Kote Puerto/Unsplash)

Ein Sicherheitsforscher konnte auf etliche Softwareprojekte von Samsung zugreifen. Diese wurden in einer öffentlich zugänglichen Gitlab-Instanz unter einer eigenen Domain betrieben. Neben dem Quellcode fand der Sicherheitsforscher Mossab Hussein laut dem Onlinemagazin Techcrunch auch Zugangsdaten, Zertifikate, Tokens und Schlüssel, mit denen er sich Zugriff auf Analyse- und Log-Daten verschaffen sowie den Code verändern konnte.

Stellenmarkt
  1. SchoolCraft GmbH, St. Johann (Home-Office möglich)
  2. Software AG, Darmstadt, Saarbrücken

Die Gitlab-Installation von Samsung war, wie viele der dort gehosteten Softwareprojekte, öffentlich einsehbar. Neben dem Quellcode verschiedener Softwareprojekte konnte der Sicherheitsforscher auch Zugangsdaten zu Samsungs AWS-Konto in der Gitlab-Instanz entdecken. Zu dem Konto gehören über 100 S3-Buckets, in denen Logs und Analysedaten von Samsung gespeichert werden. Darunter seien auch viele Daten von Samsungs Smart-Home-System Smarthings und dem Sprachassistenten Bixby.

Der Sicherheitsforscher habe zudem Zugriff auf in Gitlab abgelegte private Tokens der Mitarbeiter gehabt. Über die Tokens konnte der Sicherheitsforscher auch auf etliche private Softwareprojekte zugreifen. Insgesamt habe er Zugriff auf 135 Softwareprojekte gehabt, erklärt Hussein.

Samsungs Software verändern

Über die Zugänge hätte der Sicherheitsforscher auch Änderungen am Code vornehmen können - im Namen anderer Nutzer. Laut Techcrunch erklärte Samsung zwar, dass es sich bei den Softwareprojekten nur um Dateien zum Testen handle, der Sicherheitsforscher habe jedoch festgestellt, dass die am 10. April 2019 veröffentlichte Android-App Smarthings von Samsung den gleichen Code verwende, der auch in Gitlab hinterlegt sei. Laut Googles Play Store wurde die App über 100 Millionen Mal installiert. Auch die Zertifikate der iOS- und Android-App fanden sich in der Gitlab-Installation von Samsung.

"Die eigentliche Gefahr liegt darin, dass jemand die Möglichkeit hatte, derart weitreichenden Zugriff auf den Quellcode der Applikationen zu erhalten und Schadcode einfügen konnte, ohne dass die Firma es bemerkt", kommentiert Hussein auf Techcrunch.

Am 10. April 2019 meldete der Sicherheitsforscher seinen Fund an Samsung, das die AWS-Zugangsdaten zurücksetzte. Ob auch die Zertifikate und Schlüssel zurückgesetzt wurden, ist unbekannt.



Anzeige
Hardware-Angebote
  1. 127,99€ (Bestpreis!)

ChiakiAccess 10. Mai 2019

Manchmal ist ein "richtiger" Titel auch einfach clickbaitig genug. (Geiles Wort)


Folgen Sie uns
       


Backup per Band angesehen

Das Rattern des Roboterarms und Rauschen der Klimaanlage: Golem.de hat sich Bandlaufwerke in Aktion beim Geoforschungszentrum Potsdam angeschaut. Das Ziel: zu erfahren, was die 60 Jahre alte Technik noch immer sinnvoll macht.

Backup per Band angesehen Video aufrufen
FPM-Sicherheitslücke: Daten exfiltrieren mit Facebooks HHVM
FPM-Sicherheitslücke
Daten exfiltrieren mit Facebooks HHVM

Server für den sogenannten FastCGI Process Manager (FPM) können, wenn sie übers Internet erreichbar sind, unbefugten Zugriff auf Dateien eines Systems geben. Das betrifft vor allem HHVM von Facebook, bei PHP sind die Risiken geringer.
Eine Exklusivmeldung von Hanno Böck

  1. HHVM Facebooks PHP-Alternative erscheint ohne PHP

Transport Fever 2 angespielt: Wachstum ist doch nicht alles
Transport Fever 2 angespielt
Wachstum ist doch nicht alles

Wesentlich mehr Umfang, bessere Übersicht dank neuer Benutzerführung und eine Kampagne mit 18 Missionen: Das Schweizer Entwicklerstudio Urban Games hat Golem.de das Aufbauspiel Transport Fever 2 vorgestellt - bei einer Bahnfahrt.
Von Achim Fehrenbach

  1. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  2. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle
  3. Bright Memory angespielt Brachialer PC-Shooter aus China

Forschung: Mehr Elektronen sollen Photovoltaik effizienter machen
Forschung
Mehr Elektronen sollen Photovoltaik effizienter machen

Zwei dünne Schichten auf einer Silizium-Solarzelle könnten ihre Effizienz erhöhen. Grünes und blaues Licht kann darin gleich zwei Elektronen statt nur eines freisetzen.
Von Frank Wunderlich-Pfeiffer

  1. ISS Tierbeobachtungssystem Icarus startet
  2. Sun To Liquid Solaranlage erzeugt Kerosin aus Sonnenlicht, Wasser und CO2
  3. Shell Ocean Discovery X Prize X-Prize für unbemannte Systeme zur Meereskartierung vergeben

    •  /