خرق يكشف عن شيفرة SmartThings من سامسونج

خرق يكشف عن شيفرة SmartThings من سامسونج
خرق يكشف عن شيفرة SmartThings من سامسونج

كشف أحد مختبرات التطوير المستخدمة من قبل المهندسين في شركة سامسونج عن التعليمات البرمجية المصدرية الحساسة للغاية وبيانات الاعتماد والمفاتيح السرية للعديد من المشاريع الداخلية – بما في ذلك منصة SmartThings الخاصة بها، حسبما وجد باحث أمني.

وتركت العملاقة الكورية الجنوبية العشرات من مشاريع البرمجة الداخلية على موقع مشابه لمنصة GitLab مستضاف على مجال مملوك لشركة سامسونج، وهو Vandev Lab، الذي يستخدمه الموظفون للمشاركة والمساهمة في العديد من تطبيقات وخدمات ومشاريع سامسونج.

وسرب الموقع البيانات لأن المشروعات لم تكن محمية بشكل صحيح بكلمة مرور، مما يسمح لأي شخص بالنظر داخل كل مشروع، والوصول إليه، وتنزيل التعليمات البرمجية المصدرية.

وقال مصعب حسين Mossab Hussein، الباحث الأمني في شركة الأمن السيبراني SpiderSilk الواقع مقرها في مدينة دبي، والذي اكتشف الملفات المسربة: إن أحد المشاريع يحتوي على بيانات اعتماد سمحت بالوصول إلى حساب خدمات ويب أمازون AWS بأكمله الذي تم استخدامه، بما في ذلك أكثر من مائة مستودع تخزين S3 تحتوي على بيانات سجلات وتحليلات.

وأوضح مصعب أن العديد من المجلدات تحتوي على سجلات وتحليلات لخدمات SmartThings، و Bixby، من سامسونج، إلى جانب العديد من الرموز المميزة لمنصة GitLab الخاصة بالموظفين المخزنة على شكل نص عادي، مما سمح له بالحصول على وصول إضافي من 42 مشروعًا عامًا إلى 135 مشروعًا، بما في ذلك العديد من المشاريع الخاصة.

وأخبرته شركة سامسونج أن بعض الملفات كانت للاختبار، لكن حسين اعترض على هذا الإدعاء، قائلاً: إن التعليمات البرمجية المصدرية الموجود في مستودع GitLab تتضمن نفس التعليمات البرمجية لتطبيق أندرويد المنشور في متجر جوجل بلاي Google Play بتاريخ 10 أبريل.

ويمتلك التطبيق، الذي تم تحديثه منذ ذلك الحين، أكثر من 100 مليون عملية تثبيت حتى الآن، وقال حسين: “كان لدي الرمز المميز لمستخدم كان لديه حق الوصول الكامل إلى جميع المشاريع الـ 135 في GitLab”، مما كان يسمح له بإجراء تغييرات في التعليمات البرمجية باستخدام حساب ذلك الموظف.

وتضمن موقع Vandev Lab شهادات خاصة لتطبيقات منصة سامسونج SmartThings على نظامي التشغيل أندرويد، وآي أو إس iOS، كما عثر حسين أيضًا على العديد من المستندات والشرائح داخل الملفات المكشوفة.

وقال: “الخطر الحقيقي يكمن في إمكانية حصول شخص ما على هذا المستوى من الوصول إلى التعليمات البرمجية المصدرية للتطبيق، وحقنه بتعليمات برمجية خبيثة دون علم الشركة بذلك”.

ووثق حسين، من خلال المفاتيح والرموز الخاصة المكشوفة، قدرًا كبيرًا من إمكانية الوصول التي كان يمكن أن تكون كارثية إذا حصل عليها شخص خبيث.

وأبلغ شركة سامسونج عن تلك النتائج بتاريخ 10 أبريل، مما دفع سامسونج في الأيام التالية لإلغاء بيانات اعتماد AWS، لكن حسين أوضح أن سامسونج استغرقت حتى 30 أبريل لإلغاء مفاتيح GitLab الخاصة.

وقال زاك دوغان Zach Dugan، المتحدث باسم سامسونج: “أبلغنا أحد باحثي الأمان مؤخرًا من خلال برنامج المكافآت الأمنية الخاص بنا عن وجود ثغرة أمنية فيما يتعلق بأحد منصات الاختبار الخاصة بنا، وسرعان ما ألغينا جميع المفاتيح والشهادات لمنصة الاختبار المُبلغ عنها، وبينما لم نجد بعد دليلًا على حدوث أي وصول خارجي، فإننا نحقق في هذا الأمر حاليًا”.



خرق يكشف عن شيفرة SmartThings من سامسونج

اشترك فى النشرة البريدية لتحصل على اهم الاخبار بمجرد نشرها

تابعنا على مواقع التواصل الاجتماعى

افضل شركة هواتف ذكية ?

الإستفتاءات السابقة