„Бели шешир“, или етички хакер, пронашао је рупу у Блоцкфолио-у, популарној апликацији за управљање и надгледање портфеља мобилних крипто валута. Безбедносна грешка која се појавила у претходним верзијама апликације могла је допустити криминалцу да украде затворени изворни код и евентуално убризга њихов код у спремиште ГитХуб Блоцкфолио-а, а одатле и у саму апликацију.
Откриће које се догодило случајно
Истраживач компаније за интернетску сигурност Интезер, Паул Литвак, открио је то прошле седмице када је одлучио да прегледа сигурност алата повезаних са криптовалутом које је користио.
Литвак је укључен у крипто валуту од 2017. године када се обавезао на изградњу трговачког робота, а Блоцкфолио је Андроид апликација коју је користио за управљање новчаником по узору на Битцоин систем.
„Након непотребне ревизије њихове [нове] апликације, прегледао сам претходне верзије апликације да видим могу ли пронаћи давно заборављене тајне или скривене крајње тачке на мрежи“, рекао је Литвак.
„Одмах сам пронашао ову верзију од 2017. године приступом ГитХуб АПИ-у.“ Овај код се повезује са спремиштем компаније Гитхуб користећи скуп константи који укључује назив датотеке и, што је најважније, кључ који Гитхуб користи за омогућавање приступа спремиште.
Апликација је затражила Блоцкфолио-ова приватна ГитХуб спремишта, а та функција је једноставно преузимала најчешће постављана питања о Блоцкфолио-у директно са ГитХуб-а, штедећи компанију напор да мора да их ажурира у оквиру својих апликација.
Али остављање кључа изложеног је опасно јер би свако могао да приступи и контролише цело ГитХуб складиште. Будући да је апликација стара три године, Литвак је истражио да ли је проблем још увек присутан.
Да ли је кршење безбедности још увек активно?
„Открио сам да је токен и даље активан и да има„ репо “опсега ОАутх“, рекао је Литвак. „ОАутх Сцопе“ се користи за ограничавање приступа апликације корисничком налогу.
„Спремиште“, према ГитХуб-у, омогућава пуни приступ приватним и јавним спремиштима и укључује приступ читања / писања кода, државе урезивања и организационе пројекте, између осталих функција.
„Свако довољно знатижељан да разбије стару апликацију Блоцкфолио могао је да је репродукује и преузме сав Блоцкфолио код, па чак и да стави свој злонамерни код у своју базу кода.“
Ова рањивост била је јавна две године, а рупа је и даље била отворена. Литвак је упозорио Блоцкфолио на проблем путем друштвених мрежа, јер Блоцкфолио нема програм за додељивање грешака за искорењивање рањивости.
Суоснивач и извршни директор Блоцкфолио Едвард Монцада потврдио је причу за медије и саопштио да је Блоцкфолио опозвао приступ кључу. Следећих дана Монцада је изјавила да је Блоцкфолио извршио ревизију својих система и утврдио да није било промена.
Токен би некоме омогућио да модификује изворни код, али Монцада је рекла да никада неће постојати ризик од издавања злонамерног кода корисницима.
