O „pălărie albă” sau un hacker etic a găsit o gaură în Blockfolio, aplicația populară de gestionare și monitorizare a portofoliului de criptomonede mobile. Defectul de securitate care a apărut în versiunile anterioare ale aplicației ar fi putut permite unui criminal să fure codul sursă închis și, eventual, să le injecteze codul în depozitul GitHub al Blockfolio și, de acolo, în aplicația însăși.
O descoperire întâmplată întâmplător
Un cercetător al companiei de securitate cibernetică Intezer, Paul Litvak, a făcut descoperirea săptămâna trecută când a decis să revizuiască securitatea instrumentelor legate de criptomonede pe care le folosea.
Litvak a fost implicat în industria criptomonedelor din 2017, când s-a angajat să construiască un robot de tranzacționare, iar Blockfolio este o aplicație Android pe care a folosit-o pentru a-și gestiona portofelul pe linia Sistemul Bitcoin.
„După revizuirea inutilă a aplicației lor [noi], am aruncat o privire asupra versiunilor anterioare ale aplicației pentru a vedea dacă aș putea găsi puncte finale secrete sau ascunse de mult timp uitate”, a spus Litvak.
„Am găsit imediat această versiune din 2017 accesând GitHub API.” Acest cod se conectează la depozitul Github al companiei utilizând un set de constante care include un nume de fișier și, cel mai important, cheia utilizată de Github pentru a permite accesul la repertoriu.
Aplicația a solicitat depozitele private GitHub ale Blockfolio și această caracteristică pur și simplu a descărcat FAQ-urile Blockfolio direct de la GitHub, economisind companiei efortul de a fi nevoit să îl actualizeze în cadrul aplicațiilor sale.
Dar lăsarea cheii expuse este periculoasă, deoarece oricine ar putea accesa și controla un întreg depozit GitHub. Întrucât aplicația are trei ani, Litvak a investigat pentru a vedea dacă problema era încă acolo.
Este încălcarea securității încă activă?
„Am constatat că simbolul este încă activ și are o repo OAuth Scope”, a spus Litvak. Un „OAuth Scope” este utilizat pentru a restricționa accesul unei aplicații la contul unui utilizator.
Un „depozit”, potrivit GitHub, oferă acces complet la depozite private și publice și include accesul de citire / scriere la cod, stări de validare și proiecte de organizație, printre alte funcții.
„Oricine este suficient de curios pentru a sparge vechea aplicație Blockfolio ar fi putut să-l reproducă și să descarce tot codul Blockfolio și chiar să-și pună propriul cod rău intenționat în propria bază de coduri.”
Această vulnerabilitate a fost publică de doi ani și gaura era încă deschisă. Litvak a avertizat Blockfolio despre problema prin intermediul rețelelor sociale, deoarece Blockfolio nu are un program de recompensă pentru erori pentru a elimina vulnerabilitățile.
Cofondatorul și CEO-ul Blockfolio Edward Moncada a confirmat povestea presei și a comunicat că Blockfolio a revocat accesul la cheie. În zilele următoare, Moncada a declarat că Blockfolio și-a auditat sistemele și a constatat că nu au fost făcute modificări.
Jetonul ar permite cuiva să modifice codul sursă, dar Moncada a spus că nu va exista niciodată riscul de a elibera coduri rău intenționate utilizatorilor.
