En "vit hatt", eller etisk hacker, har hittat ett hål i Blockfolio, den populära mobila portföljhanterings- och övervakningsappen. Säkerhetsfelet som uppstod i tidigare versioner av applikationen kunde ha gjort det möjligt för en brottsling att stjäla den stängda källkoden och eventuellt injicera sin kod i Blockfotos GitHub-förvar och därifrån till själva appen.
En upptäckt som hände av en slump
En forskare vid cybersäkerhetsföretaget Intezer, Paul Litvak, upptäckte förra veckan när han bestämde sig för att granska säkerheten för de kryptovalutarelaterade verktyg han använde.
Litvak har varit involverad i kryptovalutaindustrin sedan 2017 då han åtagit sig att bygga en handelsrobot, och Blockfolio är en Android-app som han använde för att hantera sin plånbok i linje med Bitcoin-systemet.
”Efter att ha reviderat deras [nya] app i onödan tittade jag på tidigare versioner av appen för att se om jag kunde hitta förlorade hemliga eller dolda webbändpunkter,” sa Litvak.
"Jag hittade omedelbart den här versionen från 2017 genom att komma åt GitHub API." Den här koden ansluts till företagets Github-arkiv med en uppsättning konstanter som innehåller ett filnamn och, viktigast av allt, den nyckel som Github använder för att tillåta åtkomst förvar.
Appen begärde Blockfotos privata GitHub-arkiv, och den här funktionen laddade helt enkelt ner FAQs för Blockfolio direkt från GitHub, vilket sparar företaget för att behöva uppdatera det i sina appar.
Men att lämna nyckeln exponerad är farligt eftersom vem som helst kan komma åt och styra ett helt GitHub-arkiv. Eftersom appen är tre år gammal undersökte Litvak för att se om problemet fortfarande var kvar.
Är säkerhetsbrottet fortfarande aktivt?
"Jag upptäckte att token fortfarande är aktiv och har en OAuth Scope repo", sa Litvak. Ett ”OAuth-omfång” används för att begränsa en applikations åtkomst till en användares konto.
Ett "arkiv", enligt GitHub, ger full tillgång till privata och offentliga arkiv och inkluderar läs- / skrivåtkomst till kod, engagera stater och organisationsprojekt, bland andra funktioner.
"Den som är nyfiken på att knäcka den gamla Blockfolio-appen kunde ha reproducerat den och laddat ner all Blockfolio-koden och till och med lagt in sin egen skadliga kod i sin kodbas."
Denna sårbarhet hade varit offentlig i två år och hålet var fortfarande öppet. Litvak varnade Blockfolio för problemet via sociala medier, eftersom Blockfolio inte har något bug-bounty-program för att utrota sårbarheterna.
Blockfogens grundare och VD Edward Moncada bekräftade historien till media och meddelade att Blockfolio har återkallat åtkomst till nyckeln. Under de följande dagarna uppgav Moncada att Blockfolio hade granskat sina system och fann att inga ändringar gjordes.
Token skulle göra det möjligt för någon att ändra källkoden, men Moncada sa att det aldrig skulle finnas någon risk för att släppa skadlig kod till användarna.
