"Baltā cepure" jeb ētisks hakeris ir atradis robu populārajā mobilo kriptovalūtu portfeļu pārvaldības un uzraudzības lietotnē Blockfolio. Drošības kļūda, kas parādījās iepriekšējās lietojumprogrammas versijās, varēja ļaut noziedzniekam nozagt slēgto pirmkodu un, iespējams, injicēt savu kodu Blockfolio GitHub krātuvē un no turienes pašā lietotnē.
Atklājums, kas noticis nejauši
Kiberdrošības firmas Intezer pētnieks Pols Litvaks atklāja pagājušajā nedēļā, kad nolēma pārskatīt izmantoto ar kriptovalūtu saistīto rīku drošību.
Litvak ir iesaistījies kriptovalūtu industrijā kopš 2017. gada, kad viņš apņēmās veidot tirdzniecības robotu, un Blockfolio ir Android lietotne, kuru viņš izmantoja, lai pārvaldītu savu maku atbilstoši Bitcoin sistēma.
"Pēc nevajadzīgas viņu [jaunās] lietotnes pārskatīšanas es apskatīju iepriekšējās lietotnes versijas, lai redzētu, vai es varu atrast sen aizmirstus slepenus vai slēptus tīmekļa galapunktus," sacīja Litvak.
"Es uzreiz atradu šo versiju no 2017. gada, piekļūstot GitHub API." Šis kods tiek izveidots savienojums ar uzņēmuma Github repozitoriju, izmantojot konstantes, kas ietver faila nosaukumu un, pats galvenais, Github izmantoto atslēgu, lai atļautu piekļuvi krātuve.
Lietotne pieprasīja Blockfolio privātos GitHub krātuves, un šī funkcija vienkārši lejupielādēja Blockfolio FAQ tieši no GitHub, ietaupot uzņēmumam pūles to atjaunināt savās lietotnēs.
Bet atslēgas atstāšana atklātā vietā ir bīstama, jo ikviens var piekļūt un kontrolēt visu GitHub repozitoriju. Tā kā lietotnei ir trīs gadi, Litvak pētīja, vai problēma joprojām pastāv.
Vai drošības pārkāpums joprojām ir aktīvs?
"Es atklāju, ka marķieris joprojām ir aktīvs un tam ir OOuth Scope repo," sacīja Litvaks. “OAuth tvērums” tiek izmantots, lai ierobežotu lietojumprogrammas piekļuvi lietotāja kontam.
Saskaņā ar GitHub sniegto "krātuvi" tiek nodrošināta pilnīga piekļuve privātiem un publiskiem krātuvēm, kā arī citu funkciju skaitā lasīšanas / rakstīšanas piekļuve kodam, saistību stāvokļiem un organizācijas projektiem.
"Ikviens, kurš ir pietiekami ziņkārīgs, lai uzlauztu veco Blockfolio lietotni, varēja to reproducēt un lejupielādēt visu Blockfolio kodu un pat ievietot savu ļaunprātīgo kodu savā kodu bāzē."
Šī ievainojamība bija publiska divus gadus, un caurums joprojām bija atvērts. Litvak ar sociālo mediju starpniecību brīdināja Blockfolio par problēmu, jo Blockfolio nav kļūdu atalgojuma programmas, lai izskaustu ievainojamības.
Blockfolio līdzdibinātājs un izpilddirektors Edvards Monkada apstiprināja stāstu plašsaziņas līdzekļiem un paziņoja, ka Blockfolio ir atcēlis piekļuvi atslēgai. Nākamajās dienās Moncada paziņoja, ka Blockfolio ir pārbaudījis savas sistēmas un konstatējis, ka izmaiņas nav veiktas.
Marķieris ļaus kādam modificēt pirmkodu, taču Monkada sacīja, ka nekad nav riska, ka lietotāji varētu izlaist ļaunprātīgu kodu.
