"Bijeli šešir", ili etički haker, pronašao je rupu u popularnoj aplikaciji za upravljanje i praćenje portfelja mobilnih kriptovaluta Blockfolio. Sigurnosni propust koji se pojavio u prethodnim verzijama aplikacije mogao je dopustiti kriminalcu da ukrade zatvoreni izvorni kod i eventualno ubrizga njihov kôd u spremište GitHub-a Blockfolio, a odatle i u samu aplikaciju.
Otkriće koje se dogodilo slučajno
Istraživač iz tvrtke za internetsku sigurnost Intezer, Paul Litvak, došao je do otkrića prošlog tjedna kada je odlučio pregledati sigurnost alata povezanih s kriptovalutom koje je koristio.
Litvak je u kriptovalutnu industriju uključen od 2017. godine kada se obvezao na izgradnju trgovačkog robota, a Blockfolio je Android aplikacija kojom je upravljao novčanikom po uzoru na Bitcoin sustav.
"Nakon nepotrebne revizije njihove [nove] aplikacije, pregledao sam prethodne verzije aplikacije da vidim mogu li pronaći davno zaboravljene tajne ili skrivene mrežne krajnje točke", rekao je Litvak.
„Odmah sam pronašao ovu verziju iz 2017. godine pristupom GitHub API-u.“ Ovaj se kod povezuje s spremištem tvrtke Github pomoću skupa konstanti koji uključuje naziv datoteke i, što je najvažnije, ključ koji Github koristi za omogućavanje pristupa spremište.
Aplikacija je zatražila privatna spremišta GitHub za Blockfolio, a ta je značajka jednostavno preuzimala najčešće postavljana pitanja o Blockfoliou izravno s GitHub-a, štedeći tvrtku napor da ga mora ažurirati unutar svojih aplikacija.
No ostavljanje ključa izloženim opasno je jer bi svatko mogao pristupiti i kontrolirati cijelo spremište GitHub. Kako je aplikacija stara tri godine, Litvak je istražio je li problem još uvijek prisutan.
Je li proboj sigurnosti još uvijek aktivan?
"Otkrio sam da je token još uvijek aktivan i da ima" repo "opsega OAuth", rekao je Litvak. „OAuth Scope“ koristi se za ograničavanje pristupa aplikacije korisničkom računu.
Prema GitHubu, "spremište" omogućuje potpun pristup privatnim i javnim spremištima i uključuje pristup čitanja / pisanja koda, države urezivanja i organizacijske projekte, između ostalih funkcija.
"Svatko dovoljno znatiželjan da provali staru aplikaciju Blockfolio mogao ju je reproducirati i preuzeti sav Blockfolio kôd, pa čak i staviti svoj zlonamjerni kôd u svoju bazu koda."
Ta je ranjivost bila javna dvije godine, a rupa je i dalje bila otvorena. Litvak je upozorio Blockfolio na problem putem društvenih mreža, jer Blockfolio nema program za nagrađivanje bugova kako bi iskorijenio ranjivosti.
Suosnivač i izvršni direktor Blockfolio Edward Moncada potvrdio je priču medijima i priopćio da je Blockfolio opozvao pristup ključu. Sljedećih dana Moncada je izjavila da je Blockfolio revidirao svoje sustave i utvrdila da nije bilo promjena.
Token bi nekome omogućio izmjenu izvornog koda, ali Moncada je rekao da nikada nije postojao rizik od izdavanja zlonamjernog koda korisnicima.
