Egy "fehér kalap", vagy etikus hacker, lyukat talált a Blockfolio, a népszerű mobil kriptovaluta portfóliókezelő és -figyelő alkalmazásban. Az alkalmazás korábbi verzióiban megjelent biztonsági hiba lehetővé tehette egy bűnöző számára, hogy ellopja a zárt forráskódot, és esetleg befecskendezhesse kódját a Blockfolio GitHub adattárába, és onnan magába az alkalmazásba.
Egy véletlenül történt felfedezés
Az Intezer kiberbiztonsági cég kutatója, Paul Litvak a múlt héten fedezte fel a felfedezést, amikor úgy döntött, hogy áttekinti az általa használt kriptovalutával kapcsolatos eszközök biztonságát.
Litvak 2017 óta vesz részt a kriptovaluta iparban, amikor elkötelezte magát egy kereskedelmi robot építése mellett, a Blockfolio pedig egy Android alkalmazás, amelyet a pénztárcája kezeléséhez használt. Bitcoin rendszer.
"Miután feleslegesen átdolgoztam [új] alkalmazásukat, megnéztem az alkalmazás korábbi verzióit, hátha találok rég elfeledett titkos vagy rejtett webes végpontokat" - mondta Litvak.
"Ezt a verziót 2017-től azonnal megtaláltam a GitHub API elérésével." Ez a kód egy állandó készlet segítségével csatlakozik a vállalat Github adattárához, amely tartalmaz egy fájlnevet és ami a legfontosabb, a Github által használt kulcsot a hozzáférés engedélyezéséhez. adattár.
Az alkalmazás a Blockfolio privát GitHub-tárházait kérte, és ez a funkció egyszerűen letöltötték a Blockfolio GYIK-ot közvetlenül a GitHub-ról, ezzel megtakarítva a vállalat erőfeszítéseit, hogy frissíteni kell az alkalmazásokon belül.
De a kulcs kitettségének elhagyása veszélyes, mivel bárki hozzáférhet és vezérelhet egy teljes GitHub adattárat. Mivel az alkalmazás hároméves, a Litvak vizsgálta, hogy a probléma továbbra is fennáll-e.
A biztonsági megsértés továbbra is aktív?
"Megállapítottam, hogy a token továbbra is aktív, és rendelkezik egy OAuth Scope repóval" - mondta Litvak. Az „OAuth hatókör” korlátozza az alkalmazás hozzáférését a felhasználói fiókhoz.
A GitHub szerint egy "adattár" teljes hozzáférést biztosít a magán- és az állami adattárakhoz, és egyéb funkciók mellett tartalmaz olvasási / írási hozzáférést a kódhoz, az elkötelezett állapotokhoz és a szervezeti projektekhez.
"Bárki, aki kíváncsi a régi Blockfolio alkalmazás feltörésére, reprodukálhatta és letölthette az összes Blockfolio kódot, sőt saját rosszindulatú kódját is betehette a saját kódbázisába."
Ez a sebezhetőség két éve volt nyilvános, és a lyuk még mindig nyitott volt. Litvak a közösségi médián keresztül figyelmeztette a problémát a Blockfolio-ra, mivel a Blockfolio nem rendelkezik hibaprogrammal a sebezhetőségek kiirtására.
A Blockfolio társalapítója és vezérigazgatója, Edward Moncada megerősítette a történetet a média előtt, és közölte, hogy a Blockfolio visszavonta a kulcshoz való hozzáférést. A következő napokban Moncada kijelentette, hogy a Blockfolio ellenőrizte rendszereit, és megállapította, hogy nem történt változás.
A token lehetővé tenné, hogy valaki módosítsa a forráskódot, de Moncada szerint soha nem áll fenn annak a veszélye, hogy rosszindulatú kódot bocsátanak ki a felhasználók számára.