Il codice sorgente e le chiavi private per l'app Samsung SmartThings sono stati lasciati su GitLab

La tecnologia è progredita fino al punto in cui case intelligenti, in passato qualcosa che sembrava un'opera di finzione, sono qualcosa che è diventato abbastanza comune da vedere. Tutto è connesso a Internet e puoi controllare facilmente cose come luci e oggetti per la casa dal tuo telefono per un capriccio. Al giorno d'oggi, è qualcosa che non è nemmeno costoso da installare a casa vostra. E una delle soluzioni per la casa intelligente più utilizzate è la piattaforma SmartThings di Samsung. I prodotti compatibili con SmartThings possono essere controllati dall'app SmartThings sul dispositivo, ma potrebbe non essere così sicuro dopo che è stato scoperto che il codice sorgente per l'app è stato lasciato su un server GitLab – chiavi private incluse. La violazione è stata scoperta da Mossab Hussein, un ricercatore di sicurezza con sede a Dubai che lavora per la società di cibersicurezza SpiderSilk. È riuscito a trovare diversi progetti relativi a Samsung su un'istanza GitLab ospitata in uno dei server Samsung, che sono stati tutti resi pubblici. Da lì, ha trovato credenziali e token GitLab privati che gli hanno permesso di accedere a molti altri bucket e progetti di storage, dove ha trovato elementi come l'intero codice sorgente per l'app SmartThings e le chiavi private per l'app. Ciò gli ha permesso di fare cose come apportare modifiche al codice utilizzando l'account di un dipendente Samsung, iniettando codice dannoso nell'app o pubblicando il codice online affinché chiunque potesse vederlo. L'app, che ha attualmente oltre 100 milioni di installazioni su Google Play e viene preinstallata su un certo numero di dispositivi Samsung, è stata aggiornata. Se questa scoperta fosse stata fatta da un attore malintenzionato o da un hacker, avrebbe avuto conseguenze disastrose, secondo Hussein. La vulnerabilità è già stata affrontata da Samsung, dal momento che Hussein ha contattato la società prima di pubblicarla pubblicamente online: le chiavi private GitLab sono state revocate e Samsung è attualmente alla ricerca di informazioni su eventuali accessi esterni. A partire da ora, però, le cose sembrano essere sicure, ma se sei un utente di SmartThings, devi assolutamente stare attento. Fonte: TechCrunch Il codice sorgente e le chiavi private per l'app SmartThings di Samsung sono state lasciate su GitLab, apparso per la prima volta su xda-developers.

Commenti

commenti