Un sombrero blanco o pirata informático ético ha encontrado un hueco en Blockfolio, la popular aplicación de gestión y monitoreo de cartera de criptomonedas móvil. La falla de seguridad que apareció en versiones anteriores de la aplicación podría haber permitido que un criminal robara el código fuente cerrado y posiblemente inyectara su propio código en el repositorio Blockfolio GitHub y, desde allí, en la aplicación misma.
Un descubrimiento que sucedió por casualidad.
El investigador de seguridad de TI Intezer, Paul Litvak, hizo el descubrimiento la semana pasada cuando decidió revisar la seguridad de las herramientas relacionadas con la criptomoneda que estaba usando.
Litvak ha estado involucrado en la industria de las criptomonedas desde 2017 cuando se involucró en la construcción de un robot comercial, y Blockfolio es una aplicación de Android que utilizó para administrar su billetera en la línea de Bitcoin System.
"Después de revisar innecesariamente su [nueva] aplicación, eché un vistazo a las versiones anteriores de la aplicación para ver si podía encontrar puntos finales secretos u ocultos en la web", dijo Litvak.
"Inmediatamente encontré esta versión de 2017 accediendo a la API de GitHub". Este código se conecta al repositorio de Github de la compañía usando una serie de constantes que incluye un nombre de archivo y, sobre todo, la clave utilizada por Github para permitir el acceso a repositorio.
La aplicación solicitó los repositorios privados de GitHub de Blockfolio y esa función simplemente descargó las preguntas frecuentes de Blockfolio directamente de GitHub, evitando a la empresa el esfuerzo de tener que actualizarlo dentro de sus aplicaciones.
Pero dejar la clave expuesta es peligroso ya que cualquiera podría acceder y controlar un repositorio completo de GitHub. Dado que la aplicación tiene tres años, Litvak ha investigado para averiguar si el problema todavía estaba presente.
¿La falla de seguridad sigue activa?
"Descubrí que el token todavía está activo y tiene un" repositorio "de OAuth Scope", dijo Litvak. Un "OAuth Scope" se usa para limitar el acceso de una aplicación a la cuenta de un usuario.
Un "repositorio", según GitHub, garantiza el acceso completo a los repositorios públicos y privados e incluye acceso de lectura / escritura al código, estados de compromiso y proyectos de organización, entre otras funciones.
"Cualquiera que tenga la curiosidad de decodificar la antigua aplicación Blockfolio podría haberla reproducido y descargado todo el código Blockfolio e incluso poner su código malicioso en su propia base de código".
Esta vulnerabilidad había sido pública durante dos años y el agujero aún estaba abierto. Litvak ha advertido a Blockfolio del problema a través de las redes sociales, ya que Blockfolio no tiene un programa de recompensas de errores para erradicar las vulnerabilidades.
El cofundador y CEO de Blockfolio, Edward Moncada, confirmó la historia a los medios y anunció que Blockfolio había revocado el acceso a la clave. En los días siguientes, Moncada declaró que Blockfolio realizó una auditoría de sus sistemas y descubrió que no se habían realizado cambios.
El token habría permitido que alguien modificara el código fuente, pero Moncada dijo que nunca habría riesgo de liberar código malicioso a los usuarios.
