"Topi putih", atau penggodam etika, telah menemui lubang dalam Blockfolio, aplikasi pengurusan dan pemantauan portfolio cryptocurrency mudah alih yang popular. Kekurangan keselamatan yang muncul dalam versi aplikasi sebelumnya mungkin memungkinkan penjenayah mencuri kod sumber tertutup dan mungkin memasukkan kod mereka ke dalam gudang Blockit GitHub dan, dari sana, ke dalam aplikasi itu sendiri.
Penemuan yang berlaku secara kebetulan
Seorang penyelidik dengan firma keselamatan siber Intezer, Paul Litvak, membuat penemuan itu minggu lalu ketika dia memutuskan untuk mengkaji keselamatan alat-alat yang berkaitan dengan cryptocurrency yang dia gunakan.
Litvak telah terlibat dalam industri cryptocurrency sejak tahun 2017 ketika dia berkomitmen untuk membangun robot perdagangan, dan Blockfolio adalah aplikasi Android yang digunakannya untuk menguruskan dompetnya seiring dengan Sistem Bitcoin.
"Setelah menyemak semula aplikasi [baru] mereka secara tidak perlu, saya melihat versi aplikasi sebelumnya untuk melihat apakah saya dapat menemui titik akhir web tersembunyi atau tersembunyi yang lama dilupakan," kata Litvak.
"Saya segera menemui versi ini dari 2017 dengan mengakses API GitHub." Kod ini menghubungkan ke repositori Github syarikat menggunakan satu set pemalar yang merangkumi nama fail dan, yang paling penting, kunci yang digunakan oleh Github untuk membenarkan akses ke repositori.
Aplikasi ini meminta repositori GitHub peribadi Blockfolio, dan ciri itu hanya memuat turun Soalan Lazim Blockfolio secara langsung dari GitHub, yang menjimatkan usaha syarikat untuk perlu memperbaruinya dalam aplikasinya.
Tetapi membiarkan kunci terdedah adalah berbahaya kerana sesiapa sahaja dapat mengakses dan mengawal keseluruhan repositori GitHub. Oleh kerana aplikasinya berusia tiga tahun, Litvak menyiasat untuk melihat apakah masalahnya masih ada.
Adakah pelanggaran keselamatan masih aktif?
"Saya dapati token itu masih aktif dan mempunyai repo Skop OAuth," kata Litvak. "OAuth Scope" digunakan untuk membatasi akses aplikasi ke akaun pengguna.
Sebuah "repositori", menurut GitHub, memberikan akses penuh ke repositori swasta dan awam dan termasuk akses membaca / menulis ke kod, melaksanakan negara dan projek organisasi, antara fungsi lain.
"Sesiapa yang cukup ingin tahu aplikasi Blockfolio lama boleh menghasilkannya semula dan memuat turun semua kod Blockfolio dan bahkan memasukkan kod jahat mereka ke dalam pangkalan kod mereka sendiri."
Kerentanan ini telah diketahui umum selama dua tahun dan lubang masih terbuka. Litvak memberi amaran kepada Blockfolio mengenai masalah tersebut melalui media sosial, kerana Blockfolio tidak mempunyai program bug bounty untuk membasmi kerentanan.
Pengasas dan Ketua Pegawai Eksekutif Blockfolio, Edward Moncada mengesahkan kisah itu kepada media dan memberitahu bahawa Blockfolio telah menarik balik akses ke kunci tersebut. Pada hari-hari berikutnya, Moncada menyatakan bahawa Blockfolio telah mengaudit sistemnya dan mendapati bahawa tidak ada perubahan yang dibuat.
Token tersebut akan membolehkan seseorang mengubah kod sumber, tetapi Moncada mengatakan tidak akan pernah ada risiko melepaskan kod jahat kepada pengguna.
