„Biely klobúk“ alebo etický hacker našiel dieru v Blockfolio, populárnej aplikácii na správu a monitorovanie portfólia mobilných kryptomien. Bezpečnostná chyba, ktorá sa objavila v predchádzajúcich verziách aplikácie, mohla umožniť zločincovi ukradnúť uzavretý zdrojový kód a prípadne vložiť jeho kód do úložiska GitHub spoločnosti Blockfolio a odtiaľ do samotnej aplikácie.
Objav, ktorý sa stal náhodou
Výskumník z firmy Intezer pre kybernetickú bezpečnosť Paul Litvak urobil objav minulý týždeň, keď sa rozhodol preskúmať bezpečnosť nástrojov súvisiacich s kryptomenami, ktoré používal.
Litvak sa venuje odvetviu kryptomien od roku 2017, keď sa zaviazal vybudovať obchodného robota, a Blockfolio je aplikácia pre Android, pomocou ktorej spravoval svoju peňaženku v duchu Bitcoinový systém.
"Po zbytočnej revízii ich [novej] aplikácie som sa pozrel na predchádzajúce verzie aplikácie, aby som zistil, či nájdem dávno zabudnuté tajné alebo skryté webové koncové body," uviedol Litvak.
„Okamžite som našiel túto verziu z roku 2017 prístupom k GitHub API.“ Tento kód sa pripája k úložisku spoločnosti Github pomocou sady konštánt, ktoré obsahujú názov súboru a čo je najdôležitejšie, kľúč, ktorý používa Github na povolenie prístupu k Úložisko.
Aplikácia si vyžiadala súkromné úložiská GitHub spoločnosti Blockfolio a táto funkcia jednoducho stiahla Časté otázky o Blockfolio priamo z GitHubu, čím spoločnosti ušetrila námahu s aktualizáciou v rámci svojich aplikácií.
Ponechanie odhaleného kľúča je však nebezpečné, pretože ktokoľvek môže získať prístup a ovládať celé úložisko GitHub. Pretože je táto aplikácia stará tri roky, Litvak zisťoval, či problém stále pretrváva.
Je narušenie bezpečnosti stále aktívne?
"Zistil som, že token je stále aktívny a má„ repo “rozsahu OAuth,“ povedal Litvak. „Rozsah OAuth“ sa používa na obmedzenie prístupu aplikácie k používateľskému účtu.
„Úložisko“ podľa GitHubu poskytuje úplný prístup k súkromným a verejným úložiskám a okrem iných funkcií obsahuje prístup na čítanie a zápis do kódu, záväzných štátov a projektov organizácie.
„Každý, kto je dosť zvedavý na to, aby prelomil starú aplikáciu Blockfolio, si ju mohol reprodukovať a stiahnuť celý kód Blockfolio a dokonca vložiť svoj vlastný škodlivý kód do svojej vlastnej kódovej základne.“
Táto chyba bola verejná dva roky a diera bola stále otvorená. Litvak varoval Blockfolio pred problémom prostredníctvom sociálnych médií, pretože Blockfolio nemá program bug bounty na odstránenie slabých miest.
Spoluzakladateľ a CEO spoločnosti Blockfolio Edward Moncada potvrdil tento príbeh médiám a oznámil, že Blockfolio zrušilo prístup ku kľúču. V nasledujúcich dňoch Moncada uviedla, že Blockfolio skontroloval jeho systémy a zistil, že nedošlo k žiadnym zmenám.
Token by niekomu umožnil upraviť zdrojový kód, ale Moncada uviedla, že nikdy nebude existovať riziko uvoľnenia škodlivého kódu používateľom.
