En "hvit hatt", eller etisk hacker, har funnet et hull i Blockfolio, den populære mobile porteføljeadministrasjons- og overvåkingsappen for kryptokurrency. Sikkerhetsfeilen som dukket opp i tidligere versjoner av applikasjonen, kunne ha tillatt en kriminell å stjele den lukkede kildekoden og muligens injisere koden sin i Blockfotos GitHub-depot og derfra inn i selve appen.
En oppdagelse som skjedde ved en tilfeldighet
En forsker med cybersikkerhetsfirmaet Intezer, Paul Litvak, gjorde oppdagelsen i forrige uke da han bestemte seg for å gjennomgå sikkerheten til de kryptovaluta-relaterte verktøyene han brukte.
Litvak har vært involvert i kryptovalutaindustrien siden 2017 da han forpliktet seg til å bygge en handelsrobot, og Blockfolio er en Android-app han pleide å administrere lommeboken i tråd med Bitcoin-systemet.
"Etter å ha revidert deres [nye] app unødvendig, tok jeg en titt på tidligere versjoner av appen for å se om jeg kunne finne glemte hemmelige eller skjulte endepunkter på nettet," sa Litvak.
“Jeg fant umiddelbart denne versjonen fra 2017 ved å få tilgang til GitHub API.” Denne koden kobles til selskapets Github-lager ved hjelp av et sett med konstanter som inkluderer et filnavn og, viktigst av alt, nøkkelen som brukes av Github for å gi tilgang til oppbevaringssted.
Appen ba om Blockfoles private GitHub-arkiver, og den funksjonen lastet bare ned Blockfolio-spørsmålene ofte fra GitHub, noe som sparer selskapet for å måtte oppdatere det i appene sine.
Men å la nøkkelen være eksponert, er farlig da alle kan få tilgang til og kontrollere et helt GitHub-lager. Siden appen er tre år gammel, undersøkte Litvak for å se om problemet fortsatt var der.
Er sikkerhetsbruddet fortsatt aktivt?
"Jeg fant ut at token fortsatt er aktiv og har en OAuth Scope repo," sa Litvak. Et “OAuth Scope” brukes til å begrense applikasjonens tilgang til brukerens konto.
Et "depot", ifølge GitHub, gir full tilgang til private og offentlige arkiver og inkluderer lese- / skrivetilgang til kode, forplikte stater og organisasjonsprosjekter, blant andre funksjoner.
"Alle som er nysgjerrige på å knekke den gamle Blockfolio-appen, kunne ha reprodusert den og lastet ned all Blockfolio-koden og til og med satt sin egen ondsinnede kode i kodebasen."
Denne sårbarheten hadde vært offentlig i to år, og hullet var fortsatt åpent. Litvak advarte Blockfolio om problemet via sosiale medier, da Blockfolio ikke har et bug-bounty-program for å utrydde sårbarhetene.
Blockfolio medstifter og administrerende direktør Edward Moncada bekreftet historien til media og kommuniserte at Blockfolio har tilbakekalt tilgang til nøkkelen. I de følgende dagene uttalte Moncada at Blockfolio reviderte systemene sine og fant at det ikke ble gjort noen endringer.
Token vil tillate noen å endre kildekoden, men Moncada sa at det aldri ville være en risiko for å gi ut skadelig kode til brukerne.
