„Biały kapelusz”, czyli etyczny haker, znalazł lukę w Blockfolio, popularnej mobilnej aplikacji do zarządzania i monitorowania portfela kryptowalut. Luka w zabezpieczeniach, która pojawiła się w poprzednich wersjach aplikacji, mogła pozwolić przestępcy na kradzież zamkniętego kodu źródłowego i ewentualnie wstrzyknięcie własnego kodu do repozytorium GitHub Blockfolio, a stamtąd do samej aplikacji.
Odkrycie, które wydarzyło się przez przypadek
Badacz z firmy Intezer zajmującej się cyberbezpieczeństwem, Paul Litvak, dokonał odkrycia w zeszłym tygodniu, kiedy zdecydował się sprawdzić bezpieczeństwo używanych przez siebie narzędzi związanych z kryptowalutami.
Litvak jest zaangażowany w branżę kryptowalut od 2017 roku, kiedy postanowił zbudować robota handlowego, a Blockfolio to aplikacja na Androida, której używał do zarządzania swoim portfelem na wzór: System Bitcoin.
„Po bezskutecznym sprawdzeniu ich [nowej] aplikacji, przejrzałem poprzednie wersje aplikacji, aby sprawdzić, czy uda mi się znaleźć dawno zapomniane tajne lub ukryte punkty końcowe sieci” – powiedział Litvak.
„Od razu znalazłem tę wersję z 2017 r., uzyskując dostęp do interfejsu API GitHub.” Kod ten łączy się z firmowym repozytorium Github za pomocą szeregu stałych, które obejmują nazwę pliku i, co ważne, klucz używany przez Github w celu umożliwienia dostępu do repozytorium.
Aplikacja żądała prywatnych repozytoriów Blockfolio na GitHubie, a ta funkcja po prostu pobierała często zadawane pytania Blockfolio bezpośrednio z GitHub, oszczędzając firmie wysiłku związanego z koniecznością aktualizowania ich w swoich aplikacjach.
Jednak pozostawienie klucza odsłoniętego jest niebezpieczne, ponieważ każdy może uzyskać dostęp do całego repozytorium GitHub i kontrolować je. Ponieważ aplikacja ma trzy lata, Litvak sprawdził, czy problem nadal występuje.
Czy luka w zabezpieczeniach jest nadal aktywna?
„Dowiedziałem się, że token jest nadal aktywny i ma repozytorium OAuth Scope” – powiedział Litvak. „Zakres OAuth” służy do ograniczania dostępu aplikacji do konta użytkownika.
Według GitHuba „repozytorium” zapewnia pełny dostęp do repozytoriów prywatnych i publicznych i obejmuje między innymi dostęp do odczytu/zapisu kodu, stany zatwierdzeń i organizowanie projektów.
„Każdy, kto był na tyle ciekawy, aby przeprowadzić inżynierię wsteczną starej aplikacji Blockfolio, mógł ją odtworzyć i pobrać cały kod Blockfolio, a nawet wstawić własny złośliwy kod do własnej bazy kodów”.
Luka ta była publicznie dostępna od dwóch lat, a luka nadal była otwarta. Litvak powiadomił Blockfolio o problemie za pośrednictwem mediów społecznościowych, ponieważ Blockfolio nie ma programu nagród za błędy umożliwiającego wykorzenienie luk.
Współzałożyciel i dyrektor generalny Blockfolio, Edward Moncada, potwierdził tę historię mediom i ogłosił, że Blockfolio cofnęło dostęp do klucza. W następnych dniach Moncada poinformowała, że Blockfolio przeprowadziło audyt swoich systemów i stwierdziło, że nie wprowadzono żadnych zmian.
Token umożliwiłby komuś modyfikację kodu źródłowego, ale Moncada twierdzi, że nigdy nie będzie istniało ryzyko udostępnienia użytkownikom złośliwego kodu.
