En "hvid hat", eller etisk hacker, har fundet et hul i Blockfolio, den populære mobile cryptocurrency-porteføljestyrings- og overvågningsapp. Sikkerhedsfejlen, der optrådte i tidligere versioner af applikationen, kunne have tilladt en kriminel at stjæle den lukkede kildekode og muligvis injicere deres kode i Blockfotos GitHub-arkiv og derfra i selve appen.
En opdagelse, der skete tilfældigt
En forsker hos cybersikkerhedsfirmaet Intezer, Paul Litvak, fandt opdagelsen i sidste uge, da han besluttede at gennemgå sikkerheden for de kryptovaluta-relaterede værktøjer, han brugte.
Litvak har været involveret i kryptovalutaindustrien siden 2017, da han forpligtede sig til at opbygge en handelsrobot, og Blockfolio er en Android-app, som han plejede at administrere sin tegnebog i tråd med Bitcoin-system.
"Efter unødigt at have revideret deres [nye] app, kiggede jeg på tidligere versioner af appen for at se, om jeg kunne finde længe glemte hemmelige eller skjulte webendepunkter," sagde Litvak.
"Jeg fandt straks denne version fra 2017 ved at få adgang til GitHub API." Denne kode opretter forbindelse til virksomhedens Github-lager ved hjælp af et sæt konstanter, der inkluderer et filnavn og vigtigst af alt den nøgle, der bruges af Github for at give adgang til lager.
Appen anmodede om Blockfoles private GitHub-arkiver, og denne funktion downloadede simpelthen Blockfolio-ofte stillede spørgsmål direkte fra GitHub, hvilket sparer virksomheden for at skulle opdatere den i sine apps.
Men det er farligt at lade nøglen være eksponeret, da enhver kunne få adgang til og kontrollere et helt GitHub-lager. Da appen er tre år gammel, undersøgte Litvak for at se, om problemet stadig var der.
Er sikkerhedsbruddet stadig aktivt?
”Jeg fandt ud af, at tokenet stadig er aktivt og har et OAuth Scope 'repo',” sagde Litvak. En “OAuth Scope” bruges til at begrænse en applikations adgang til en brugers konto.
Et "lager" ifølge GitHub giver fuld adgang til private og offentlige arkiver og inkluderer læse- / skriveadgang til kode, forpligtende stater og organisationsprojekter, blandt andre funktioner.
"Enhver nysgerrig nok til at knække den gamle Blockfolio-app kunne have gengivet den og downloadet al Blockfolio-koden og endda lagt deres egen ondsindede kode i deres egen kodebase."
Denne sårbarhed havde været offentlig i to år, og hullet var stadig åbent. Litvak advarede Blockfolio om problemet via sociale medier, da Blockfolio ikke har et bug-bounty-program til at udrydde sårbarheder.
Blockfolio-medstifter og administrerende direktør Edward Moncada bekræftede historien over for medierne og meddelte, at Blockfolio har tilbagekaldt adgang til nøglen. I de følgende dage sagde Moncada, at Blockfolio havde revideret sine systemer og fundet, at der ikke blev foretaget nogen ændringer.
Tokenet tillader nogen at ændre kildekoden, men Moncada sagde, at der aldrig ville være en risiko for at frigive ondsindet kode til brugerne.
