หน้าแรก
\
\
Blockfolio กำจัดข้อบกพร่องด้านความปลอดภัยเก่าที่เปิดเผยซอร์สโค้ดอย่างเงียบ ๆ

Blockfolio กำจัดข้อบกพร่องด้านความปลอดภัยเก่าที่เปิดเผยซอร์สโค้ดอย่างเงียบ ๆ

By
02 พฤษภาคม 2020
ข่าวเกี่ยวกับสกุลเงินดิจิทัลทั้งหมด ไม่มีความคิดเห็น

Blockfolio กำจัดข้อบกพร่องด้านความปลอดภัยเก่าที่เปิดเผยซอร์สโค้ดอย่างเงียบ ๆ - Blockfolio"หมวกสีขาว" หรือแฮ็กเกอร์ที่มีจริยธรรมได้ค้นพบช่องโหว่ใน Blockfolio ซึ่งเป็นแอปการจัดการและตรวจสอบผลงานสกุลเงินดิจิทัลบนมือถือยอดนิยม ข้อบกพร่องด้านความปลอดภัยที่ปรากฏในแอปพลิเคชันเวอร์ชันก่อนหน้าอาจทำให้อาชญากรสามารถขโมยซอร์สโค้ดแบบปิดและอาจฉีดโค้ดของพวกเขาลงในที่เก็บ GitHub ของ Blockfolio และจากที่นั่นลงในแอปเอง

การค้นพบที่เกิดขึ้นโดยบังเอิญ

Paul Litvak นักวิจัยจาก บริษัท ความปลอดภัยทางไซเบอร์ Intezer ได้ทำการค้นพบเมื่อสัปดาห์ที่แล้วเมื่อเขาตัดสินใจที่จะตรวจสอบความปลอดภัยของเครื่องมือที่เกี่ยวข้องกับสกุลเงินดิจิทัลที่เขาใช้อยู่

Litvak มีส่วนร่วมในอุตสาหกรรม cryptocurrency ตั้งแต่ปี 2017 เมื่อเขามุ่งมั่นที่จะสร้างหุ่นยนต์ซื้อขายและ Blockfolio เป็นแอพ Android ที่เขาใช้จัดการกระเป๋าเงินของเขาตามแนว ระบบ Bitcoin.

“ หลังจากแก้ไขแอป [ใหม่] โดยไม่จำเป็นฉันได้ดูเวอร์ชันก่อนหน้าของแอปเพื่อดูว่าฉันสามารถค้นหาข้อมูลลับที่ถูกลืมมานานหรือจุดสิ้นสุดของเว็บที่ซ่อนอยู่ได้หรือไม่” Litvak กล่าว

"ฉันพบเวอร์ชันนี้ทันทีตั้งแต่ปี 2017 โดยการเข้าถึง GitHub API" รหัสนี้เชื่อมต่อกับที่เก็บ Github ของ บริษัท โดยใช้ชุดค่าคงที่ที่มีชื่อไฟล์และที่สำคัญที่สุดคือคีย์ที่ Github ใช้เพื่ออนุญาตการเข้าถึง ที่เก็บ

แอปขอที่เก็บ GitHub ส่วนตัวของ Blockfolio และฟีเจอร์ดังกล่าวเพียงแค่ดาวน์โหลดคำถามที่พบบ่อยของ Blockfolio โดยตรงจาก GitHub ซึ่งช่วยให้ บริษัท ไม่ต้องอัปเดตภายในแอป

แต่การปล่อยให้คีย์ถูกเปิดเผยนั้นอันตรายเนื่องจากทุกคนสามารถเข้าถึงและควบคุมที่เก็บ GitHub ทั้งหมดได้ เนื่องจากแอปมีอายุสามปี Litvak จึงตรวจสอบว่ายังมีปัญหาอยู่หรือไม่

การละเมิดความปลอดภัยยังคงมีอยู่หรือไม่

“ ฉันพบว่าโทเค็นยังคงทำงานอยู่และมี OAuth Scope 'repo' อยู่” Litvak กล่าว “ ขอบเขต OAuth” ใช้เพื่อ จำกัด การเข้าถึงบัญชีของผู้ใช้ของแอปพลิเคชัน

"ที่เก็บ" ตาม GitHub ให้สิทธิ์การเข้าถึงที่เก็บส่วนตัวและสาธารณะอย่างเต็มที่และรวมถึงการอ่าน / เขียนการเข้าถึงโค้ดสถานะการคอมมิตและโปรเจ็กต์ขององค์กรรวมถึงฟังก์ชันอื่น ๆ

"ใครก็ตามที่อยากรู้อยากเห็นมากพอที่จะถอดรหัสแอป Blockfolio แบบเก่าสามารถสร้างซ้ำและดาวน์โหลดรหัส Blockfolio ทั้งหมดและใส่รหัสที่เป็นอันตรายของตนเองลงในฐานรหัสของตนได้"

ช่องโหว่นี้เปิดเผยต่อสาธารณะมาเป็นเวลาสองปีแล้วและช่องโหว่นี้ยังคงเปิดอยู่ Litvak เตือน Blockfolio ถึงปัญหาผ่านโซเชียลมีเดียเนื่องจาก Blockfolio ไม่มีโปรแกรมเงินรางวัลบั๊กที่จะขจัดช่องโหว่

Edward Moncada ผู้ร่วมก่อตั้งและ CEO ของ Blockfolio ยืนยันเรื่องนี้กับสื่อและแจ้งว่า Blockfolio ได้เพิกถอนการเข้าถึงคีย์แล้ว ในวันต่อมา Moncada ระบุว่า Blockfolio ได้ตรวจสอบระบบแล้วและพบว่าไม่มีการเปลี่ยนแปลงใด ๆ  

โทเค็นจะอนุญาตให้ใครบางคนแก้ไขซอร์สโค้ดได้ แต่ Moncada กล่าวว่าจะไม่มีความเสี่ยงในการปล่อยโค้ดที่เป็นอันตรายต่อผู้ใช้

ผู้เขียนข่าว

ข้อมูลบทความ

เขียนโดย: Andrea Santillo San

อัพเดตครั้งล่าสุด: 2 พฤษภาคม 2020

Andrea Santillo นักเขียนผู้เชี่ยวชาญด้าน Freelancer ในสาขาการเงินดิจิทัลและตอนนี้ยังอยู่ในสาขา cryptocurrencies ต้องขอบคุณความรู้ทางภาษาของฉันฉันได้ทำการวิจัยและศึกษาในเว็บไซต์ต่างๆและมีการก่อตั้งบทความของฉันและเจาะลึกในหัวข้อเหล่านี้ เพลิดเพลินไปกับการอ่าน