Белая шляпа или этичный хакер нашли дыру в Blockfolio, популярном мобильном приложении для мониторинга и управления портфелем криптовалют. Нарушение безопасности, появившееся в предыдущих версиях приложения, могло позволить преступнику украсть закрытый исходный код и, возможно, внедрить свой собственный код в репозиторий Blockfolio GitHub, а оттуда - в само приложение.
Случайное открытие
Исследователь из компании по компьютерной безопасности Intezer Пол Литвак сделал открытие на прошлой неделе, когда решил проверить безопасность инструментов, связанных с криптовалютой, которые он использовал.
Литвак участвует в индустрии криптовалюты с 2017 года, когда он начал заниматься созданием торгового робота, а Blockfolio - это приложение для Android, с помощью которого он управлял своим кошельком в русле Биткойн-система.
«После ненужного просмотра их [нового] приложения я взглянул на предыдущие версии приложения, чтобы выяснить, смогу ли я найти давно забытые секретные или скрытые веб-точки», - сказал Литвак.
«Я сразу же нашел эту версию с 2017 года, обратившись к GitHub API.» Этот код подключается к репозиторию Github компании, используя серию констант, которые включают имя файла и, прежде всего, ключ, используемый Github для предоставления доступа к репозиторий.
Приложение запрашивало частные репозитории GitHub от Blockfolio, и эта функция просто загружала часто задаваемые вопросы Blockfolio напрямую из GitHub, избегая попытки компании обновить его в своих приложениях.
Но оставлять ключ открытым - опасно, так как любой может получить доступ и контролировать весь репозиторий GitHub. Поскольку приложению исполнилось три года, Литвак провел расследование, чтобы выяснить, сохраняется ли проблема.
Ошибка безопасности все еще активна?
«Я обнаружил, что токен все еще активен и имеет OAuth Scope« РЕПО », - сказал Литвак. «Область OAuth» используется для ограничения доступа приложения к учетной записи пользователя.
«Репозиторий», согласно GitHub, обеспечивает полный доступ к частным и общедоступным репозиториям и включает в себя доступ на чтение / запись к коду, состояниям фиксации и проектам организации, среди прочих функций.
«Любой, кому достаточно любопытно декодировать старое приложение Blockfolio, мог бы воспроизвести его, загрузить весь код Blockfolio и даже поместить свой вредоносный код в собственную базу кода».
Эта уязвимость была публичной в течение двух лет, и дыра все еще была открыта. Литвак предупредил Blockfolio о проблеме через социальные сети, поскольку в Blockfolio нет программы по предоставлению вознаграждений за ошибки, чтобы устранить уязвимости.
Соучредитель и главный исполнительный директор Blockfolio Эдвард Монкада подтвердил эту историю для СМИ и объявил, что Blockfolio аннулировал доступ к ключу. В последующие дни Moncada заявила, что Blockfolio провела аудит своих систем, и обнаружила, что никаких изменений не было сделано.
Маркер позволил бы кому-то изменить исходный код, но Монкада сказал, что никогда не будет риска выпустить вредоносный код для пользователей.
