Ένα "λευκό καπέλο" ή ένας ηθικός χάκερ, βρήκε μια τρύπα στο Blockfolio, τη δημοφιλή εφαρμογή διαχείρισης και παρακολούθησης χαρτοφυλακίου κρυπτογράφησης για κινητά. Το ελάττωμα ασφαλείας που εμφανίστηκε σε προηγούμενες εκδόσεις της εφαρμογής θα μπορούσε να επιτρέψει σε έναν εγκληματία να κλέψει τον κλειστό πηγαίο κώδικα και ενδεχομένως να εισάγει τον κωδικό του στο αποθετήριο GitHub του Blockfolio και, από εκεί, στην ίδια την εφαρμογή.
Μια ανακάλυψη που έγινε τυχαία
Ένας ερευνητής της εταιρείας κυβερνοασφάλειας Intezer, Paul Litvak, έκανε την ανακάλυψη την περασμένη εβδομάδα όταν αποφάσισε να επανεξετάσει την ασφάλεια των εργαλείων που σχετίζονται με την κρυπτογράφηση.
Ο Litvak ασχολείται με τη βιομηχανία κρυπτονομισμάτων από το 2017 όταν δεσμεύτηκε να κατασκευάσει ένα ρομπότ συναλλαγών και το Blockfolio είναι μια εφαρμογή Android που χρησιμοποιούσε για να διαχειριστεί το πορτοφόλι του σύμφωνα με το Σύστημα Bitcoin.
«Αφού αναθεώρησα άσκοπα την [νέα] εφαρμογή τους, ρίξα μια ματιά σε προηγούμενες εκδόσεις της εφαρμογής για να δω αν θα μπορούσα να βρω από καιρό ξεχασμένα μυστικά ή κρυμμένα τελικά σημεία ιστού», είπε ο Λίτβακ.
"Βρήκα αμέσως αυτήν την έκδοση από το 2017 μεταβαίνοντας στο API GitHub." Αυτός ο κώδικας συνδέεται με το αποθετήριο Github της εταιρείας χρησιμοποιώντας ένα σύνολο σταθερών που περιλαμβάνει ένα όνομα αρχείου και, το πιο σημαντικό, το κλειδί που χρησιμοποιεί το Github για να επιτρέψει την πρόσβαση στο αποθήκη.
Η εφαρμογή ζήτησε από τα ιδιωτικά αποθετήρια GitHub του Blockfolio, και αυτή η δυνατότητα απλώς κατέβασε τις Συχνές ερωτήσεις του Blockfolio απευθείας από το GitHub, εξοικονομώντας έτσι την προσπάθεια της εταιρείας να χρειάζεται να το ενημερώσει στις εφαρμογές της.
Αλλά το να αφήσετε το κλειδί εκτεθειμένο είναι επικίνδυνο, καθώς όλοι θα μπορούσαν να έχουν πρόσβαση και να ελέγξουν ολόκληρο το αποθετήριο GitHub Καθώς η εφαρμογή είναι τριών ετών, ο Litvak διερεύνησε εάν το πρόβλημα ήταν ακόμη εκεί.
Η παραβίαση ασφαλείας εξακολουθεί να είναι ενεργή;
«Διαπίστωσα ότι το διακριτικό εξακολουθεί να είναι ενεργό και έχει ένα« repo »του OAuth Scope», είπε ο Litvak. Το "OAuth Scope" χρησιμοποιείται για τον περιορισμό της πρόσβασης μιας εφαρμογής στον λογαριασμό ενός χρήστη.
Ένα "αποθετήριο", σύμφωνα με το GitHub, παρέχει πλήρη πρόσβαση σε ιδιωτικά και δημόσια αποθετήρια και περιλαμβάνει πρόσβαση ανάγνωσης / εγγραφής σε κώδικα, δεσμεύστε καταστάσεις και έργα οργάνωσης, μεταξύ άλλων λειτουργιών.
"Όποιος είναι αρκετά περίεργος για να σπάσει την παλιά εφαρμογή Blockfolio θα μπορούσε να το αναπαράγει και να κατεβάσει όλο τον κώδικα Blockchain και ακόμη και να βάλει τον δικό του κακόβουλο κώδικα στη δική του βάση κώδικα."
Αυτή η ευπάθεια ήταν δημόσια για δύο χρόνια και η τρύπα ήταν ανοιχτή Ο Litvak προειδοποίησε το Blockfolio για το πρόβλημα μέσω των κοινωνικών μέσων μαζικής ενημέρωσης, καθώς το Blockfolio δεν έχει πρόγραμμα bug bounty για να ξεριζώσει τις ευπάθειες.
Ο συνιδρυτής και διευθύνων σύμβουλος του Blockfolio, Edward Moncada, επιβεβαίωσε την ιστορία στα ΜΜΕ και ανακοίνωσε ότι το Blockfolio έχει ανακαλέσει την πρόσβαση στο κλειδί. Τις επόμενες μέρες, η Moncada δήλωσε ότι το Blockfolio έλεγξε τα συστήματά του και διαπίστωσε ότι δεν έγιναν αλλαγές.
Το διακριτικό θα επέτρεπε σε κάποιον να τροποποιήσει τον πηγαίο κώδικα, αλλά η Moncada είπε ότι δεν θα υπήρχε ποτέ κίνδυνος έκδοσης κακόβουλου κώδικα στους χρήστες.
