"Valge müts" ehk eetiline häkker on leidnud augu populaarse mobiilse krüptoraha portfellihalduse ja jälgimise rakenduses Blockfolio. Rakenduse eelmistes versioonides ilmnenud turvaviga oleks võinud lubada kurjategijal varastada suletud lähtekoodi ja süstida nende koodi Blockfolio'i GitHubi hoidlasse ja sealt edasi rakendusse endasse.
Avastus, mis juhtus juhuslikult
Küberturbeettevõtte Intezer teadlane Paul Litvak tegi avastuse eelmisel nädalal, kui otsustas üle vaadata kasutatavate krüptorahaga seotud tööriistade turvalisuse.
Litvak on krüptoraha tööstusega seotud olnud alates 2017. aastast, kui ta pühendus kauplemisroboti ehitamisele, ja Blockfolio on Androidi rakendus, mida ta kasutas oma rahakoti haldamiseks Bitcoini süsteem.
"Pärast nende [uue] rakenduse asjatut ülevaatamist vaatasin rakenduse eelmisi versioone, et leida, kas leian juba ammu unustatud salajasi või varjatud veebi lõpp-punkte," ütles Litvak.
"Leidsin selle versiooni aastast 2017, kasutades GitHubi API-d." See kood ühendatakse ettevõtte Githubi hoidlaga, kasutades konstantide komplekti, mis sisaldab failinime ja, mis kõige tähtsam, Githubi kasutatavat võtit, et võimaldada hoidla.
Rakendus taotles Blockfolio privaatset GitHubi hoidlat ja see funktsioon lihtsalt laadis Blockfolio'i KKK alla otse GitHubist, säästes ettevõttel pingutusi selle värskendamiseks oma rakendustes.
Kuid võtme paljastamine on ohtlik, sest igaüks võib pääseda juurde kogu GitHubi hoidlale ja seda juhtida. Kuna rakendus on kolm aastat vana, uuris Litvak, kas probleem on ikka alles.
Kas turvarikkumine on endiselt aktiivne?
"Ma leidsin, et luba on endiselt aktiivne ja sellel on OAuthi ulatuse" repo "," ütles Litvak. „OAuthi ulatust” kasutatakse rakenduse juurdepääsu piiramiseks kasutaja kontole.
"Hoidla" annab GitHubi andmetel täieliku juurdepääsu era- ja avalikele hoidlatele ning sisaldab muude funktsioonide kõrval ka lugemis- / kirjutusjuurdepääsu koodile, kohustuste olekutele ja organisatsiooniprojektidele.
"Igaüks, kes on piisavalt uudishimulik vana Blockfolio rakenduse lõhkumiseks, oleks võinud selle paljundada ja kogu Blockfolio koodi alla laadida ning isegi oma pahatahtliku koodi oma koodibaasi panna."
See haavatavus oli olnud avalik kaks aastat ja auk oli endiselt lahti. Litvak hoiatas Blockfolio probleemi sotsiaalmeedia kaudu, kuna Blockfolio'l pole vigade juurutamiseks veaparendusprogrammi.
Blockfolio'i asutaja ja tegevjuht Edward Moncada kinnitas lugu meediale ja teatas, et Blockfolio on võtmele juurdepääsu tühistanud. Järgnevatel päevadel teatas Moncada, et Blockfolio kontrollis oma süsteeme ja leidis, et muudatusi pole tehtud.
Luba võimaldaks kellelgi lähtekoodi muuta, kuid Moncada sõnul pole kunagi oht pahatahtliku koodi kasutajatele väljaandmiseks.
