09/05/2019 di Redazione

Samsung si dimentica pezzi di codice sul Web

Un ricercatore ha segnalato all’azienda la presenza di sorgente e altri dati sensibili su repository online, in chiaro e pubblicamente accessibili. Le informazioni riguardavano progetti come Bixby e SmartThings. La società sudcoreana le avrebbe rimosse so

immagine.jpg

Il codice di decine di progetti interni di Samsung sarebbe stato lasciato per errore in chiaro sul Web, consentendo quindi virtualmente a chiunque di curiosare. La scoperta dei repository aperti sulla piattaforma Gitlab è stata fatta dal ricercatore di sicurezza Mossab Hussein, il quale sostiene di aver avvisato Samsung lo scorso 10 aprile. Ma i sorgente sarebbero stati rimossi solo dopo venti giorni. Secondo quanto ricostruito da Hussein, nei repository si trovavano, oltre al codice, anche credenziali di accesso e chiavi per accedere ai progetti sviluppati dal chaebol e agli account di Amazon Web Services dei dipendenti. Le iniziative coinvolte sarebbero di primo piano: si parla anche dell’assistente vocale Bibxy e delle soluzioni IoT SmartThings. I file su Gitlab, oltre a essere impostati come pubblici, non sarebbero nemmeno stati protetti da password.

Le risorse al momento non sono più presenti online, ma la notizia starà sicuramente creando imbarazzo ai piani alti del colosso asiatico. Un portavoce di Samsung ha spiegato a Techcrunch che l’azienda ha provveduto a “rimuovere velocemente” tutte le chiavi e i certificati. Una dichiarazione che contrasta con le affermazioni di Hussein. “Se un malintenzionato fosse riuscito a mettere le mani sul codice potrebbe avere iniettato stringhe maligne senza che la compagnia l’abbia saputo”, ha sottolineato il ricercatore.

Secondo Samsung, invece, i file non sarebbero stati manomessi. Inoltre, la compagnia ha spiegato che le risorse erano utilizzate esclusivamente per scopo di test. Hussein avrebbe invece trovato lo stesso codice all’interno dell’applicazione SmartThings per Android rilasciata ufficialmente dal chaebol su Google Play Store lo scorso 10 aprile. Ad oggi, il software è stato installato oltre 100 milioni di volte.

Tramite il portavoce Zach Dugan, Samsung ha promesso comunque di indagare a fondo sulla vicenda. “Al momento non abbiamo trovato prove di accessi esterni”, ha aggiunto. È evidente che una leggerezza di questo genere potrebbe avere conseguenze disastrose sull’integrità delle applicazioni rilasciate dal gruppo hi-tech. “Non ho mai visto un’azienda di queste dimensioni gestire la propria infrastruttura con pratiche così bizzarre”, ha rimarcato Hussein.

 

ARTICOLI CORRELATI