Logo ur.androidermagazine.com
Logo ur.androidermagazine.com
» خبریں۔
خبریں۔

سیکیورٹی کی غلطی نے سیمسنگ کے اسمارٹ اسٹیز ایپ سورس کوڈ تک رسائی فراہم کی۔

سیکیورٹی کی غلطی نے سیمسنگ کے اسمارٹ اسٹیز ایپ سورس کوڈ تک رسائی فراہم کی۔
Anonim

پچھلے مہینے یہ دریافت ہوا کہ وندیو لیب ، جس کی ملکیت سام سنگ کی ملکیت ہے ، کے لئے گٹ لیب مثال نے پاس ورڈ کے ذریعہ اپنے منصوبوں کو محفوظ نہیں بنایا تھا۔ اسی طرح ، سام سنگ کے مختلف ایپس ، خدمات اور منصوبوں کے لئے درجنوں داخلی کوڈنگ پروجیکٹس عوام کے سامنے رکھے گئے تھے ، جس کے نتیجے میں سام سنگ پراجیکٹس میں اس کی مقبول سمارٹ ہوم ایکو سسٹم اسمارٹ ٹھنگ بھی شامل ہے۔

منصوبوں کو پاس ورڈ سے صحیح طریقے سے محفوظ کیے بغیر ، اس نے کسی کو بھی ماخذ کوڈ دیکھنے ، اسے ڈاؤن لوڈ کرنے یا تبدیلیاں کرنے کی صلاحیت فراہم کردی۔

اسپائیڈر سلک کے ایک سیکیورٹی محقق نے جس کا نام موساب حسین تھا ، نے 10 اپریل کو سیکیورٹی میں ہونے والی خرابی کا پردہ فاش کیا اور اس کی اطلاع سام سنگ کو دی۔ اپنی تلاش میں ، اس نے AWS کے پورے اکاؤنٹ تک رسائی حاصل کی تھی جس میں ایک سو سے زیادہ S3 اسٹوریج کی بالٹیاں تھیں جن میں لاگ اور تجزیاتی ڈیٹا موجود تھا۔

نوشتہ جات اور تجزیات میں سیمسنگ مصنوعات جیسے اسمارٹ ٹھنز اور بکسبی خدمات کے علاوہ کئی ملازمین کی نجی گٹ لیب ٹوکن کو سیدھے متن میں شامل کیا گیا۔ ان ٹوکن کے استعمال سے ، حسین 45 سے 135 کے درمیان سرکاری اور نجی منصوبوں تک رسائی حاصل کرنے میں کامیاب ہوگئے۔

جب اس نے سیمسنگ سے رابطہ کیا تو ، حسین کو بتایا گیا کہ کچھ فائلیں جانچ کے ل testing ہیں ، لیکن اس نے اینڈرائیڈ اسمارٹ ٹھنگ ایپ کے موجودہ ورژن کے لئے موجود سورس کوڈ کی نشاندہی کرنے میں جلدی کی۔ تاہم ، ان کی گفتگو کے بعد ہی ایپ کو اپ ڈیٹ کردیا گیا ہے۔

اس تک رسائ کا سب سے خطرناک حصہ یہ ہے کہ ، گٹ لیب ٹوکنز کے ساتھ ، حسین سام سنگ کے کوڈ میں تبدیلیاں لاسکتے تھے۔ انہوں نے کہا:

اصل خطرہ اس امکانی میں ہے کہ کسی نے اطلاق کے ماخذ کوڈ تک اس سطح تک رسائی حاصل کرلی ہے ، اور کمپنی کو جانے بغیر اس کو بدنیتی پر مبنی کوڈ لگایا ہے۔

حسین نے سیمسنگ سے رابطہ کرنے کے کچھ دن بعد ہی ڈبلیو ایس ایس کی اسناد منسوخ کردی گئیں ، لیکن اس کی تصدیق نہیں ہوسکی ہے کہ اگر خفیہ چابیاں اور سرٹیفکیٹ میں ایسا ہی سلوک ہوا۔ جیسا کہ یہ ابھی ہے ، سام سنگ نے اس کے بارے میں پہلی بار اطلاع دیئے جانے کے تقریبا a ایک ماہ بعد خطرے کی اطلاع کو بند نہیں کیا ہے۔ تاہم ، جب سیمسنگ کے ترجمان زچ ڈوگن نے اس پر تبصرہ پوچھا تو ، جواب دیا:

ہم نے اطلاع شدہ ٹیسٹنگ پلیٹ فارم کے لئے تمام چابیاں اور سرٹیفکیٹ جلدی سے منسوخ کردیئے اور ہمیں ابھی تک کوئی ثبوت نہیں مل سکا کہ کوئی بیرونی رسائی واقع ہوئی ہے ، ہم فی الحال اس کی مزید تفتیش کر رہے ہیں۔

حسین کے مطابق ، 30 اپریل تک گٹ لیب کی نجی چابیاں منسوخ ہونے میں لگ گئیں ، اور ان کے حوالے سے کہا گیا ہے ، "میں نے ایسی بڑی کمپنی کو ان کے بنیادی ڈھانچے کو اس طرح کے عجیب و غریب طریقوں کا استعمال کرتے ہوئے نہیں دیکھا ہے۔" جب ٹیک کانچ نے اس واقعے کے بارے میں مخصوص سوالات پوچھے ، یا ثبوت کے لئے یہ صرف ماحول کی جانچ کے لئے تھا تو ، سام سنگ نے انکار کردیا۔

یہ اس کی ایک اور مثال ہے کہ ان دنوں سیکیورٹی کے مناسب طریقے کیسے زیادہ سے زیادہ اہم ہوتے جارہے ہیں کیونکہ ٹیکنالوجی ہماری زندگی کے ہر پہلو کو تلاش کرتی ہے۔

گوگل نسٹ ہب میکس آن: آن آپ کے سمارٹ ہوم کے لئے ایک بہترین۔

ہم اپنے لنکس کا استعمال کرتے ہوئے خریداری کے لئے کمیشن حاصل کرسکتے ہیں۔ اورجانیے.

خبریں۔

ایڈیٹر کی پسند