"Beli klobuk" ali etični heker je našel luknjo v priljubljeni aplikaciji za upravljanje in spremljanje portfelja mobilnih kriptovalut Blockfolio. Varnostna napaka, ki se je pojavila v prejšnjih različicah aplikacije, bi lahko kriminalcu omogočila, da ukrade zaprto izvorno kodo in po možnosti vbrizga njihovo kodo v skladišče GitHub Blockfolio in od tam tudi v samo aplikacijo.
Odkritje, ki se je zgodilo po naključju
Raziskovalec podjetja za kibernetsko varnost Intezer Paul Litvak je odkritje odkril prejšnji teden, ko se je odločil pregledati varnost orodij, povezanih s kriptovalutami, ki jih je uporabljal.
Litvak je v kriptovalutno industrijo vključen od leta 2017, ko se je zavezal k izdelavi trgovskega robota, Blockfolio pa je aplikacija za Android, s katero je denarnico upravljal po vzoru Bitcoin sistem.
"Po nepotrebnem pregledu njihove [nove] aplikacije sem si ogledal prejšnje različice aplikacije in ugotovil, ali lahko najdem že pozabljene skrivne ali skrite končne točke," je dejal Litvak.
»To različico sem takoj našel od leta 2017 z dostopom do API-ja GitHub.« Ta koda se poveže s skladiščem podjetja Github z naborom konstant, ki vključuje ime datoteke in, kar je najpomembneje, ključ, s katerim Github omogoča dostop do odlagališče.
Aplikacija je zahtevala zasebna skladišča GitHub za Blockfolio in ta funkcija je preprosto prenesla pogosta vprašanja o Blockfolio neposredno iz GitHub, s čimer je podjetju prihranila trud, da bi ga morali posodobiti v svojih aplikacijah.
Toda pustiti ključ izpostavljenega je nevarno, saj bi lahko kdo dostopal do celotnega skladišča GitHub in ga nadziral. Ker je aplikacija stara tri leta, je Litvak preiskal, ali je težava še vedno tam.
Je varnostna kršitev še vedno aktivna?
"Ugotovil sem, da je žeton še vedno aktiven in ima" repo "obsega OAuth," je dejal Litvak. »OAuth Scope« se uporablja za omejevanje dostopa aplikacije do uporabniškega računa.
Po GitHubu "repozitorij" omogoča popoln dostop do zasebnih in javnih repozitorijev in med drugim vključuje tudi dostop za branje / pisanje kode, države zaveze in organizacijske projekte.
"Vsakdo, ki je dovolj radoveden, da bi razbil staro aplikacijo Blockfolio, bi jo lahko reproduciral in prenesel vso kodo Blockfolio in celo dal svojo zlonamerno kodo v svojo lastno osnovo."
Ta ranljivost je bila javna dve leti in luknja je bila še vedno odprta. Litvak je Blockfolio na težavo opozoril prek družabnih omrežij, saj Blockfolio nima programa za odpravljanje napak za odpravljanje ranljivosti.
Soustanovitelj in izvršni direktor Blockfolio Edward Moncada je zgodbo potrdil medijem in sporočil, da je Blockfolio preklical dostop do ključa. V naslednjih dneh je Moncada izjavil, da je Blockfolio revidiral svoje sisteme in ugotovil, da ni bilo sprememb.
Žeton bi nekomu omogočil spreminjanje izvorne kode, toda Moncada je dejal, da nikoli ne bo nevarnosti, da bi zlonamerno kodo objavil uporabnikom.
