„Bílý klobouk“ nebo etický hacker našel díru v Blockfolio, populární aplikaci pro správu a monitorování portfolia mobilních kryptoměn. Bezpečnostní chyba, která se objevila v předchozích verzích aplikace, mohla umožnit zločinci ukrást uzavřený zdrojový kód a případně vložit jeho kód do úložiště GitHub Blockfolio a odtud do samotné aplikace.
Objev, ke kterému došlo náhodou
Výzkumník z firmy Intezer pro kybernetickou bezpečnost Paul Litvak učinil objev minulý týden, když se rozhodl přezkoumat bezpečnost nástrojů souvisejících s kryptoměnou, které používal.
Litvak se v odvětví kryptoměn angažuje od roku 2017, kdy se zavázal k budování obchodního robota, a Blockfolio je aplikace pro Android, kterou používal ke správě své peněženky v duchu Bitcoinový systém.
"Po zbytečné revizi jejich [nové] aplikace jsem se podíval na předchozí verze aplikace, abych zjistil, zda najdu dávno zapomenuté tajné nebo skryté webové koncové body," řekl Litvak.
„Okamžitě jsem našel tuto verzi z roku 2017 přístupem k rozhraní GitHub API.“ Tento kód se připojuje k úložišti Github společnosti pomocí sady konstant, které obsahují název souboru a hlavně klíč, který používá Github k povolení přístupu k úložiště.
Aplikace si vyžádala soukromá úložiště GitHub Blockfolio a tato funkce jednoduše stáhla Časté dotazy k Blockfoliu přímo z GitHubu, což společnosti ušetří námahu s aktualizací v rámci jejích aplikací.
Ale ponechání klíče vystaveného je nebezpečné, protože kdokoli mohl přistupovat a ovládat celé úložiště GitHub. Vzhledem k tomu, že aplikace je stará tři roky, Litvak prozkoumal, zda problém stále existuje.
Je narušení zabezpečení stále aktivní?
„Zjistil jsem, že token je stále aktivní a má repo rozsah OAuth,“ řekl Litvak. „Rozsah OAuth“ se používá k omezení přístupu aplikace k účtu uživatele.
„Úložiště“ podle GitHubu poskytuje plný přístup k soukromým a veřejným úložištím a mimo jiné zahrnuje přístup ke čtení / zápisu ke kódům, stavům potvrzení a organizačním projektům.
„Každý, kdo je dostatečně zvědavý, aby prolomil starou aplikaci Blockfolio, ji mohl reprodukovat a stáhnout si celý kód Blockfolio a dokonce si do své vlastní kódové základny vložit svůj vlastní škodlivý kód.“
Tato chyba zabezpečení byla veřejná dva roky a díra byla stále otevřená. Litvak varoval Blockfolio před problémem prostřednictvím sociálních médií, protože Blockfolio nemá program odměn za chyby, který by odstranil zranitelná místa.
Spoluzakladatel a generální ředitel společnosti Blockfolio Edward Moncada potvrdil příběh médiím a sdělil, že Blockfolio zrušil přístup ke klíči. V následujících dnech Moncada uvedla, že Blockfolio provedlo audit svých systémů a zjistilo, že nebyly provedeny žádné změny.
Token by někomu umožnil upravit zdrojový kód, ale Moncada uvedla, že nikdy nebude existovat riziko uvolnění škodlivého kódu uživatelům.
