وجدت "قبعة بيضاء" ، أو قرصان أخلاقي ، ثقبًا في Blockfolio ، تطبيق إدارة ومراقبة محفظة العملات الرقمية المشهورة. كان من الممكن أن يكون الخرق الأمني الذي ظهر في الإصدارات السابقة من التطبيق قد سمح لمجرم بسرقة شفرة المصدر المغلقة وربما حقن الكود الخاص به في مستودع Blockfolio GitHub ومن هناك إلى التطبيق نفسه.
اكتشاف حدث بالصدفة
اكتشف الباحث في أمن تكنولوجيا المعلومات Intezer ، Paul Litvak ، الأسبوع الماضي عندما قرر مراجعة أمان الأدوات المتعلقة بالعملات المشفرة التي كان يستخدمها.
شارك Litvak في صناعة العملات المشفرة منذ عام 2017 عندما التزم ببناء روبوت تجاري ، و Blockfolio هو تطبيق Android استخدمه لإدارة محفظته على غرار نظام بيتكوين.
قال Litvak: "بعد مراجعة التطبيق [الجديد] دون داعٍ ، ألقيت نظرة على الإصدارات السابقة من التطبيق لمعرفة ما إذا كان بإمكاني العثور على نقاط نهاية ويب سرية أو مخفية منذ فترة طويلة".
"عثرت على الفور على هذا الإصدار من عام 2017 عن طريق الوصول إلى واجهة برمجة تطبيقات GitHub." يتصل هذا الرمز بمستودع Github الخاص بالشركة باستخدام سلسلة من الثوابت التي تتضمن اسم ملف ، والأهم من ذلك ، المفتاح الذي يستخدمه Github للسماح بالوصول إلى مخزن.
طلب التطبيق مستودعات GitHub الخاصة لـ Blockfolio ، والتي تعمل ببساطة على تنزيل الأسئلة المتداولة من Blockfolio مباشرة من GitHub ، وتجنب الشركة جهد الاضطرار إلى تحديثها داخل تطبيقاتها.
لكن ترك المفتاح مكشوفًا خطيرًا حيث يمكن لأي شخص الوصول إلى مستودع GitHub بالكامل والتحكم فيه. نظرًا لأن عمر التطبيق ثلاث سنوات ، فقد بحثت Litvak لمعرفة ما إذا كانت المشكلة لا تزال موجودة.
هل مازال العيب الأمني نشطًا؟
قال Litvak: "اكتشفت أن الرمز ما زال نشطًا ولديه" الريبو "لنطاق OAuth يتم استخدام "نطاق OAuth" لتقييد وصول التطبيق إلى حساب المستخدم.
يضمن "المستودع" ، وفقًا لـ GitHub ، الوصول الكامل إلى المستودعات الخاصة والعامة ويتضمن الوصول للقراءة / الكتابة إلى التعليمات البرمجية ، وتخصيص الدول ومشاريع التنظيم ، من بين وظائف أخرى.
"يمكن لأي شخص لديه الفضول الكافي لفك شفرة تطبيق Blockfolio القديم إعادة إنتاجه وتنزيل جميع رموز Blockfolio وحتى وضع شفرته الخبيثة في قاعدة الرموز الخاصة به."
كان هذا الضعف عامًا لمدة عامين وما زالت الحفرة مفتوحة. حذر Litvak Blockfolio من المشكلة عبر وسائل التواصل الاجتماعي ، نظرًا لأن Blockfolio ليس لديها برنامج مكافأة الأخطاء للقضاء على نقاط الضعف.
أكد المؤسس المشارك لشركة Blockfolio والمدير التنفيذي إدوارد مونكادا القصة لوسائل الإعلام وأعلن أن Blockfolio قد أبطلت الوصول إلى المفتاح. في الأيام التالية ، ذكرت Moncada أن Blockfolio قامت بمراجعة أنظمتها ووجدت أنه لم يتم إجراء أي تغييرات.
سيسمح الرمز لشخص ما بتعديل شفرة المصدر ، لكن Moncada قال إنه لن يكون هناك خطر من إطلاق كود ضار للمستخدمين.
