„Baltoji kepurė“ arba etiškas įsilaužėlis rado skylę populiarioje mobiliųjų kriptovaliutų portfelio valdymo ir stebėjimo programoje „Blockfolio“. Ankstesnėse programos versijose pasirodęs saugumo trūkumas galėjo leisti nusikaltėliui pavogti uždarą šaltinio kodą ir galbūt suleisti savo kodą į „Blockfolio“ „GitHub“ saugyklą, o iš ten - ir į pačią programą.
Atradimas, įvykęs atsitiktinai
Kibernetinio saugumo firmos „Intezer“ tyrėjas Paulas Litvakas padarė atradimą praėjusią savaitę, kai nusprendė peržiūrėti savo naudojamų su kriptovaliuta susijusių priemonių saugumą.
„Litvak“ kriptovaliutų industrijoje dalyvavo nuo 2017 m., Kai įsipareigojo sukurti prekybos robotą, o „Blockfolio“ yra „Android“ programa, kurią jis naudojo tvarkydamas savo piniginę. Bitcoin sistema.
„Be reikalo peržiūrėjęs jų [naująją] programą, aš pažvelgiau į ankstesnes programos versijas, norėdamas sužinoti, ar galėčiau rasti seniai pamirštų slaptų ar paslėptų žiniatinklio galinių taškų“, - sakė Litvakas.
„Iš karto radau šią versiją nuo 2017 m., Patekęs į„ GitHub “API.“ Šis kodas prisijungia prie įmonės „Github“ saugyklos naudodamas konstantų rinkinį, kuriame yra failo vardas ir, svarbiausia, „Github“ naudojamas raktas, leidžiantis prieigą prie saugykla.
Programa paprašė „Blockfolio“ privačių „GitHub“ saugyklų ir ši funkcija tiesiog atsisiuntė „Blockfolio“ DUK tiesiai iš „GitHub“, taupydama įmonės pastangas ją atnaujinti savo programose.
Bet palikti raktą atidengtą yra pavojinga, nes kiekvienas gali pasiekti ir valdyti visą „GitHub“ saugyklą. Kadangi programai yra treji metai, litvakai tyrė, ar problema vis dar egzistuoja.
Ar saugumo pažeidimas vis dar aktyvus?
„Aš pastebėjau, kad prieigos raktas vis dar aktyvus ir turi„ OAuth “taikymo srities„ repo “, - sakė Litvakas. „OAuth“ apimtis naudojama norint apriboti programos prieigą prie vartotojo paskyros.
Pasak „GitHub“, „saugykla“ suteikia visišką prieigą prie privačių ir viešų saugyklų, be kitų funkcijų, apima skaitymo / rašymo prieigą prie kodo, įsipareigojimų būsenų ir organizacijos projektų.
"Kiekvienas, kurio smalsumas nulaužtų seną" Blockfolio "programą, galėjo ją atgaminti ir atsisiųsti visą" Blockfolio "kodą ir net savo kenkėjišką kodą įdėti į savo kodų bazę."
Šis pažeidžiamumas buvo viešas dvejus metus, ir skylė vis dar buvo atvira. Litvakas perspėjo „Blockfolio“ apie problemą per socialinę žiniasklaidą, nes „Blockfolio“ neturi klaidų programos, kuri pašalintų pažeidžiamumą.
„Blockfolio“ įkūrėjas ir generalinis direktorius Edwardas Moncada patvirtino istoriją žiniasklaidai ir pranešė, kad „Blockfolio“ atšaukė prieigą prie rakto. Kitomis dienomis „Moncada“ pareiškė, kad „Blockfolio“ tikrino savo sistemas ir nustatė, kad jokių pakeitimų nebuvo padaryta.
Tokie ženklai leistų kam nors pakeisti šaltinio kodą, tačiau Moncada teigė, kad niekada nebuvo pavojaus išleisti vartotojams kenksmingo kodo.
