又是原始碼洩露，這次是世界五百強的三星

iOS開發 · 發表 2019-05-10 19:05:37

摘要：嗶哩嗶哩的 GitHub 程式碼洩露事件熱潮還未過上個月，大疆前員工就因在 GitHub 上洩露程式碼被法院判處有期徒刑半年，罰款20萬。或許是三星工程師覺得大疆的最終判決還不夠狠。這不，昨日又在 GitLab 上洩露了多個內部專案程式碼，包括 SmartThing...

嗶哩嗶哩的 GitHub 程式碼洩露事件熱潮還未過

上個月，大疆前員工就因在 GitHub 上洩露程式碼被法院判處有期徒刑半年，罰款20萬。

或許是三星工程師覺得大疆的最終判決還不夠狠。

這不，昨日又在 GitLab 上洩露了多個內部專案程式碼，包括 SmartThings 和 Bixby 的原始碼

我們具體來看看是怎麼回事兒吧 ···

5月9日，外媒 TechCrunch 報導稱，三星公司用於程式碼儲存的 GitLab 上，多項供工程師使用的資料，被設為「公開」狀態而且沒有設定密碼保護。未設定許可權的的資料為 SmartThings 和 Bixby 的原始碼，同時有 AWS 帳號的證書，黑客完全可以藉此獲得三星員工的 GitLab 令牌，並進而獲得更多的其他許可權。

部分洩露程式碼截圖

Hussein 向 TechCrunch 表示，洩露的資料夾中不僅包含了三星 SmartThings 和 Bixby 服務的日誌和分析資料（其中日誌裡包含 iOS 和 Android 應用的私有證書），而且還包括以明文形式儲存的員工個人的 GitLab 令牌。這些資料使得他能夠獲取另外135個專案的訪問許可權。如果黑客利用這些資料，在相關原始碼中放置惡意程式碼實施攻擊，三星不會有任何察覺。

SmartThings是三星手機的一款應用，主要功能是控制智慧家居裝置。從燈光到恆溫器，再到安全攝像頭等，都能使用SmartThings進行控制。

Bixby是三星手機的語音助手，可以幫助智慧手機通過語音命令執行任務。同時，它還具有影象識別和語言翻譯。類似於蘋果的Siri。

到目前為止，這兩款應用在 Google Play 的下載安裝量已高達1億多次。

Hussein 稱，自己在 4 月 10 日向三星迴報過這個問題，但該公司一直未對洩露事件做出積極迴應。之後， Hussein 向 TechCrunch 媒體共享了一些截圖和自己的研究成果視訊進行審查和驗證。

三星公司官方迴應稱， Gitlab 上洩露的檔案其中一部分只是用於內部測試，不會影響到實際的使用者體驗，相信不會出現 Hussein 所擔心的問題。三星公司的發言人 Zach Dugan 表示：“我們迅速撤銷了所有測試平臺上金鑰和證書的報告，我們尚未發現任何外部訪問的跡象，目前正在進一步調查此事。”

然而，直到4月30日，三星官方都沒有撤銷相關的 GitLab 登入碼和憑證。作為一家世界500強企業卻出現如此嚴重的錯漏，實在叫人失去信心。