خرق يكشف عن شيفرة SmartThings من سامسونج

كشف أحد مختبرات التطوير المستخدمة من قبل المهندسين في شركة سامسونج عن التعليمات البرمجية المصدرية الحساسة للغاية، وبيانات الاعتماد، والمفاتيح السرية، للعديد من المشاريع الداخلية – بما في ذلك منصة SmartThings الخاصة بها، حسبما وجد باحث أمني.

وتركت العملاقة الكورية الجنوبية العشرات من مشاريع البرمجة الداخلية على موقع مشابه لمنصة GitLab، مستضاف على مجال مملوك لشركة سامسونج، وهو Vandev Lab، الذي يستخدمه الموظفون للمشاركة والمساهمة في العديد من تطبيقات وخدمات ومشاريع سامسونج.

وسرب الموقع البيانات؛ لأن المشروعات لم تكن محمية بشكل صحيح بكلمة مرور، مما يسمح لأي شخص بالنظر داخل كل مشروع، والوصول إليه، وتنزيل التعليمات البرمجية المصدرية.

وقال مصعب حسين Mossab Hussein، الباحث الأمني في شركة الأمن السيبراني SpiderSilk الواقع مقرها في مدينة دبي، والذي اكتشف الملفات المسربة: إن أحد المشاريع يحتوي على بيانات اعتماد سمحت بالوصول إلى حساب خدمات ويب أمازون AWS بأكمله، الذي تم استخدامه، بما في ذلك أكثر من مئة مستودع تخزين S3، تحتوي على بيانات سجلات وتحليلات.

وأوضح مصعب أن العديد من المجلدات تحتوي على سجلات وتحليلات لخدمات SmartThings، و Bixby، من سامسونج، إلى جانب العديد من الرموز المميزة لمنصة GitLab، الخاصة بالموظفين، المخزنة على شكل نص عادي، مما سمح له بالحصول على وصول إضافي من 42 مشروعًا عامًا، إلى 135 مشروعًا، بما في ذلك العديد من المشاريع الخاصة.

وأخبرته شركة سامسونج أن بعض الملفات كانت للاختبار، لكن حسين اعترض على هذا الادعاء، قائلاً: إن التعليمات البرمجية المصدرية الموجود في مستودع GitLab تتضمن التعليمات البرمجية نفسها لتطبيق أندرويد المنشور في متجر جوجل بلاي Google Play، بتاريخ 10 أبريل.

ويمتلك التطبيق، الذي تم تحديثه منذ ذلك الحين، أكثر من 100 مليون عملية تثبيت حتى الآن، وقال حسين: “كان لدي الرمز المميز لمستخدم كان لديه حق الوصول الكامل إلى جميع المشاريع المئة وخمس وثلاثين في GitLab”، مما كان يسمح له بإجراء تغييرات في التعليمات البرمجية، باستخدام حساب ذلك الموظف.

وتضمَّن موقع Vandev Lab شهادات خاصة لتطبيقات منصة سامسونج SmartThings على نظامي التشغيل أندرويد، وآي أو إس iOS، كما عثر حسين أيضًا على العديد من المستندات، والشرائح داخل الملفات المكشوفة.

وقال: “الخطر الحقيقي يكمن في إمكانية حصول شخص ما على هذا المستوى من الوصول إلى التعليمات البرمجية المصدرية للتطبيق، وحقنه بتعليمات برمجية خبيثة، دون علم الشركة بذلك”.

ووثق حسين، من خلال المفاتيح والرموز الخاصة المكشوفة، قدرًا كبيرًا من إمكانية الوصول، التي كان يمكن أن تصبح كارثية، إذا حصل عليها شخص خبيث.

وأبلغ شركة سامسونج عن تلك النتائج بتاريخ 10 أبريل، مما دفع سامسونج في الأيام التالية لإلغاء بيانات اعتماد AWS، لكن حسين أوضح أن سامسونج استغرقت حتى 30 أبريل؛ لإلغاء مفاتيح GitLab الخاصة.

وقال زاك دوغان Zach Dugan، المتحدث باسم سامسونج: “أبلغنا أحد باحثي الأمان مؤخرًا من خلال برنامج المكافآت الأمنية الخاص بنا عن وجود ثغرة أمنية؛ فيما يتعلق بإحدى منصات الاختبار الخاصة بنا، وسرعان ما ألغينا جميع المفاتيح والشهادات لمنصة الاختبار المُبلغ عنها، وبينما لم نجد بعدُ دليلًا على حدوث أي وصول خارجي، فإننا نحقق في هذا الأمر حاليًا”.