Samsung: Forscher konnte auf Entwicklungsumgebung zugreifen

Zugangsdaten, Zertifikate, Tokens, Schlüssel und Quellcode: Ein Sicherheitsforscher fand eine öffentlich zugängliche Gitlab-Installation von Samsung - und hätte selbst den Softwarecode ändern können.

Artikel veröffentlicht am ,
Die Sicherheit von Samsungs Entwicklungsumgebung ist brüchig.
Die Sicherheit von Samsungs Entwicklungsumgebung ist brüchig. (Bild: Kote Puerto/Unsplash)

Ein Sicherheitsforscher konnte auf etliche Softwareprojekte von Samsung zugreifen. Diese wurden in einer öffentlich zugänglichen Gitlab-Instanz unter einer eigenen Domain betrieben. Neben dem Quellcode fand der Sicherheitsforscher Mossab Hussein laut dem Onlinemagazin Techcrunch auch Zugangsdaten, Zertifikate, Tokens und Schlüssel, mit denen er sich Zugriff auf Analyse- und Log-Daten verschaffen sowie den Code verändern konnte.

Stellenmarkt
  1. Senior IT-Systems Engineer und Project Manager (m/w/d)
    LEIFHEIT AG, Nassau an der Lahn
  2. Head of IT/IT-Leiter (m/w/d)
    Sanner GmbH, Bensheim
Detailsuche

Die Gitlab-Installation von Samsung war, wie viele der dort gehosteten Softwareprojekte, öffentlich einsehbar. Neben dem Quellcode verschiedener Softwareprojekte konnte der Sicherheitsforscher auch Zugangsdaten zu Samsungs AWS-Konto in der Gitlab-Instanz entdecken. Zu dem Konto gehören über 100 S3-Buckets, in denen Logs und Analysedaten von Samsung gespeichert werden. Darunter seien auch viele Daten von Samsungs Smart-Home-System Smarthings und dem Sprachassistenten Bixby.

Der Sicherheitsforscher habe zudem Zugriff auf in Gitlab abgelegte private Tokens der Mitarbeiter gehabt. Über die Tokens konnte der Sicherheitsforscher auch auf etliche private Softwareprojekte zugreifen. Insgesamt habe er Zugriff auf 135 Softwareprojekte gehabt, erklärt Hussein.

Samsungs Software verändern

Über die Zugänge hätte der Sicherheitsforscher auch Änderungen am Code vornehmen können - im Namen anderer Nutzer. Laut Techcrunch erklärte Samsung zwar, dass es sich bei den Softwareprojekten nur um Dateien zum Testen handle, der Sicherheitsforscher habe jedoch festgestellt, dass die am 10. April 2019 veröffentlichte Android-App Smarthings von Samsung den gleichen Code verwende, der auch in Gitlab hinterlegt sei. Laut Googles Play Store wurde die App über 100 Millionen Mal installiert. Auch die Zertifikate der iOS- und Android-App fanden sich in der Gitlab-Installation von Samsung.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

"Die eigentliche Gefahr liegt darin, dass jemand die Möglichkeit hatte, derart weitreichenden Zugriff auf den Quellcode der Applikationen zu erhalten und Schadcode einfügen konnte, ohne dass die Firma es bemerkt", kommentiert Hussein auf Techcrunch.

Am 10. April 2019 meldete der Sicherheitsforscher seinen Fund an Samsung, das die AWS-Zugangsdaten zurücksetzte. Ob auch die Zertifikate und Schlüssel zurückgesetzt wurden, ist unbekannt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Clubhouse  
3,8 Milliarden Telefonnummern werden im Darknet verkauft

Die Telefonnummern und Kontakte aller Clubhouse-Konten werden wohl im Darknet angeboten. Nummern werden nach ihrer Wichtigkeit eingestuft.

Clubhouse: 3,8 Milliarden Telefonnummern werden im Darknet verkauft
Artikel
  1. iPhone 12: Youtuber findet Akkukapazität von Apples Magsafe-Pack heraus
    iPhone 12
    Youtuber findet Akkukapazität von Apples Magsafe-Pack heraus

    Ein Youtuber nimmt das Apple Magsafe-Akkupack auseinander. Im Video gibt er einen Einblick in die Technik und die Akkuladung des Produktes.

  2. Teilautonomes Fahren: Magna übernimmt Fahrerassistenz-Spezialisten Veoneer
    Teilautonomes Fahren
    Magna übernimmt Fahrerassistenz-Spezialisten Veoneer

    Für insgesamt 3,8 Milliarden US-Dollar will Magna International sein Geschäftsfeld autonome Fahrfunktionen ausbauen und übernimmt Veoneer.

  3. Elon Musk: Tesla Model S bekommt ausschließlich Knight-Rider-Lenkrad
    Elon Musk
    Tesla Model S bekommt ausschließlich Knight-Rider-Lenkrad

    Elon Musk hat klargestellt, dass es für das Model S und das Model X kein normales Lenkrad mehr geben wird. Das D-förmige Lenkrad ist Pflicht.

ChiakiAccess 10. Mai 2019

Manchmal ist ein "richtiger" Titel auch einfach clickbaitig genug. (Geiles Wort)



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • 30% auf Amazon Warehouse • LG 55NANO867NA 573,10€ • Fractal Design Meshify C Mini 69,90€ • Amazon: PC-Spiele von EA im Angebot (u. a. FIFA 21 19,99€) • Viewsonic VG2719-2K (WQHD, 99% sRGB) 217,99€ • Alternate (u. a. Fractal Design Define S2 106,89€) • Roccat Horde Aimo 49€ [Werbung]
    •  /