Um chapéu branco ou um hacker ético encontrou um buraco no Blockfolio, o popular aplicativo de gerenciamento e monitoramento de portfólio de criptomoedas móveis. A violação de segurança que apareceu nas versões anteriores do aplicativo poderia ter permitido que um criminoso roubasse o código-fonte fechado e possivelmente injetasse seu próprio código no repositório do Blockfolio GitHub e, a partir daí, no próprio aplicativo.
Uma descoberta que aconteceu por acaso
Um pesquisador da empresa de segurança de computadores Intezer, Paul Litvak, fez a descoberta na semana passada, quando decidiu revisar a segurança das ferramentas relacionadas a criptomoedas que estava usando.
Litvak está envolvido na indústria de criptomoedas desde 2017, quando se envolveu na construção de um robô comercial, e o Blockfolio é um aplicativo Android que ele usou para gerenciar sua carteira ao longo das linhas de Sistema Bitcoin.
"Depois de revisar desnecessariamente seu [novo] aplicativo, dei uma olhada nas versões anteriores do aplicativo para ver se eu conseguia encontrar pontos de extremidade da Web secretos ou ocultos há muito esquecidos", disse Litvak.
“Encontrei imediatamente esta versão a partir de 2017 acessando a API do GitHub.” Esse código se conecta ao repositório do Github da empresa usando uma série de constantes que incluem um nome de arquivo e, acima de tudo, a chave usada pelo Github para permitir o acesso ao repositório.
O aplicativo solicitou os repositórios GitHub privados do Blockfolio e essa função simplesmente baixou as perguntas freqüentes do Blockfolio diretamente do GitHub, evitando que a empresa se esforçasse para atualizá-lo em seus aplicativos.
Mas deixar a chave exposta é perigosa, pois qualquer pessoa pode acessar e controlar um repositório inteiro do GitHub. Como o aplicativo tem três anos, Litvak investigou para descobrir se o problema ainda estava presente.
A falha de segurança ainda está ativa?
"Descobri que o token ainda está ativo e tem um" repositório "de escopo do OAuth", disse Litvak. Um "escopo OAuth" é usado para limitar o acesso de um aplicativo à conta de um usuário.
Um "repositório", de acordo com o GitHub, garante acesso total aos repositórios públicos e privados e inclui acesso de leitura / gravação ao código, estados de confirmação e projetos da organização, entre outras funções.
"Qualquer pessoa curiosa o suficiente para decodificar o aplicativo antigo do Blockfolio poderia ter reproduzido e baixado todo o código do Blockfolio e até mesmo colocar o código malicioso em sua própria base de código".
Essa vulnerabilidade era pública há dois anos e o buraco ainda estava aberto. Litvak alertou o Blockfolio sobre o problema por meio das mídias sociais, já que o Blockfolio não possui um programa de recompensa de bugs para erradicar vulnerabilidades.
O co-fundador e CEO do Blockfolio, Edward Moncada, confirmou a história à mídia e anunciou que o Blockfolio havia revogado o acesso à chave. Nos dias seguintes, a Moncada declarou que o Blockfolio realizou uma auditoria em seus sistemas e constatou que nenhuma alteração havia sido feita.
O token teria permitido que alguém modificasse o código-fonte, mas Moncada disse que nunca haveria o risco de liberar código malicioso para os usuários.
