Seorang "topi putih", atau peretas etis, telah menemukan celah di Blockfolio, aplikasi manajemen dan pemantauan portofolio cryptocurrency seluler yang populer. Cacat keamanan yang muncul di versi aplikasi sebelumnya dapat memungkinkan penjahat untuk mencuri kode sumber tertutup dan mungkin menyuntikkan kode mereka ke dalam repositori GitHub Blockfolio dan, dari sana, ke dalam aplikasi itu sendiri.
Penemuan yang terjadi secara kebetulan
Seorang peneliti dari perusahaan keamanan siber Intezer, Paul Litvak, membuat penemuan minggu lalu ketika dia memutuskan untuk meninjau keamanan alat terkait cryptocurrency yang dia gunakan.
Litvak telah terlibat dalam industri cryptocurrency sejak 2017 ketika dia berkomitmen untuk membangun robot perdagangan, dan Blockfolio adalah aplikasi Android yang dia gunakan untuk mengelola dompetnya sesuai dengan kebutuhan. Sistem Bitcoin.
“Setelah merevisi aplikasi [baru] mereka secara tidak perlu, saya melihat versi aplikasi sebelumnya untuk melihat apakah saya dapat menemukan titik akhir web rahasia atau tersembunyi yang telah lama terlupakan,” kata Litvak.
"Saya segera menemukan versi ini dari 2017 dengan mengakses GitHub API." Kode ini terhubung ke repositori Github perusahaan menggunakan sekumpulan konstanta yang menyertakan nama file dan, yang terpenting, kunci yang digunakan oleh Github untuk mengizinkan akses ke gudang.
Aplikasi meminta repositori GitHub pribadi Blockfolio, dan fitur itu hanya mengunduh FAQ Blockfolio langsung dari GitHub, menghemat usaha perusahaan untuk memperbaruinya dalam aplikasinya.
Tetapi membiarkan kunci terbuka berbahaya karena siapa pun dapat mengakses dan mengontrol seluruh repositori GitHub. Karena aplikasinya berumur tiga tahun, Litvak menyelidiki untuk melihat apakah masalahnya masih ada.
Apakah pelanggaran keamanan masih aktif?
"Saya menemukan bahwa token tersebut masih aktif dan memiliki repo Cakupan OAuth," kata Litvak. "Cakupan OAuth" digunakan untuk membatasi akses aplikasi ke akun pengguna.
"Repositori", menurut GitHub, memberikan akses penuh ke repositori pribadi dan publik dan mencakup akses baca / tulis ke kode, status komit dan proyek organisasi, di antara fungsi lainnya.
"Siapa pun yang cukup penasaran untuk memecahkan aplikasi Blockfolio yang lama dapat memperbanyaknya dan mengunduh semua kode Blockfolio dan bahkan memasukkan kode jahat mereka sendiri ke dalam basis kode mereka sendiri."
Kerentanan ini telah diketahui publik selama dua tahun dan lubangnya masih terbuka. Litvak memperingatkan Blockfolio masalah ini melalui media sosial, karena Blockfolio tidak memiliki program bug bounty untuk membasmi kerentanan.
Co-founder dan CEO Blockfolio Edward Moncada mengonfirmasi cerita tersebut ke media dan mengkomunikasikan bahwa Blockfolio telah mencabut akses ke kunci tersebut. Pada hari-hari berikutnya, Moncada menyatakan bahwa Blockfolio telah mengaudit sistemnya dan tidak menemukan perubahan apa pun.
Token akan memungkinkan seseorang untuk mengubah kode sumber, tetapi Moncada mengatakan tidak akan pernah ada risiko melepaskan kode berbahaya kepada pengguna.
