"Valkoinen hattu" tai eettinen hakkeri on löytänyt aukon suositussa mobiililaitteiden salaushallintasovelluksessa Blockfolio. Sovelluksen aiemmissa versioissa esiintynyt tietoturvavirhe olisi voinut antaa rikolliselle mahdollisuuden varastaa suljettu lähdekoodi ja mahdollisesti injektoida koodinsa Blockfolion GitHub-arkistoon ja sieltä itse sovellukseen.
Löytö, joka tapahtui sattumalta
Kyberturvallisuusyrityksen Intezerin tutkija Paul Litvak teki havainnon viime viikolla, kun hän päätti tarkistaa käyttämiensä kryptovaluuttaan liittyvien työkalujen turvallisuuden.
Litvak on ollut mukana salausvaluutateollisuudessa vuodesta 2017, jolloin hän sitoutui rakentamaan kaupankäynnin robotin, ja Blockfolio on Android-sovellus, jota hän käytti lompakkonsa hallintaan. Bitcoin-järjestelmä.
"Tarkistettuani tarpeettomasti heidän [uuden] sovelluksensa katsoin sovelluksen aiempia versioita nähdäksesi, voinko löytää kauan unohdettuja salaisia tai piilotettuja verkkopäätepisteitä", Litvak sanoi.
"Löysin heti tämän version vuodelta 2017 avaamalla GitHub-sovellusliittymän." Tämä koodi muodostaa yhteyden yrityksen Github-tietovarastoon käyttämällä vakiosarjaa, joka sisältää tiedostonimen ja, mikä tärkeintä, avaimen, jota Github käyttää pääsemään arkisto.
Sovellus pyysi Blockfolion yksityisiä GitHub-arkistoja, ja tämä ominaisuus vain ladasi Blockfolio-usein kysytyt kysymykset suoraan GitHubista, mikä säästää yritystä vaivaa päivittää se sovelluksissaan.
Mutta avaimen jättäminen paljastetuksi on vaarallista, koska kuka tahansa voi käyttää ja hallita koko GitHub-arkistoa. Koska sovellus on kolme vuotta vanha, Litvak tutki onko ongelma edelleen olemassa.
Onko tietoturvaloukkaus edelleen aktiivinen?
"Huomasin, että tunnus on edelleen aktiivinen ja että sillä on OAuth-laajuus" repo ", Litvak sanoi. OAuth-laajuutta käytetään rajoittamaan sovelluksen pääsyä käyttäjän tilille.
GitHubin mukaan "arkisto" antaa täyden pääsyn yksityisiin ja julkisiin arkistoihin ja sisältää luku- / kirjoitusoikeuden koodiin, sitoutumistiloihin ja organisaatioprojekteihin muiden toimintojen ohella.
"Jokainen, joka on tarpeeksi utelias murtaa vanhan Blockfolio-sovelluksen, olisi voinut kopioida sen ja ladata kaiken Blockfolio-koodin ja jopa laittaa oman haittaohjelmansa omaan koodipohjaansa."
Tämä haavoittuvuus oli ollut julkinen kaksi vuotta, ja reikä oli edelleen auki. Litvak varoitti Blockfolioa ongelmasta sosiaalisen median välityksellä, koska Blockfoliossa ei ole vikapalkkio-ohjelmaa haavoittuvuuksien poistamiseksi.
Blockfolion perustaja ja toimitusjohtaja Edward Moncada vahvisti tarinan tiedotusvälineille ja ilmoitti, että Blockfolio on peruuttanut avaimen käytön. Seuraavina päivinä Moncada ilmoitti, että Blockfolio oli tarkastanut järjestelmänsä ja todennut, ettei muutoksia tehty.
Tunnus antaisi jonkun muokata lähdekoodia, mutta Moncada sanoi, ettei haitallisen koodin julkaisu koskaan aiheuta riskiä käyttäjille.
