"หมวกสีขาว" หรือแฮ็กเกอร์ที่มีจริยธรรมได้ค้นพบช่องโหว่ใน Blockfolio ซึ่งเป็นแอปการจัดการและตรวจสอบผลงานสกุลเงินดิจิทัลบนมือถือยอดนิยม ข้อบกพร่องด้านความปลอดภัยที่ปรากฏในแอปพลิเคชันเวอร์ชันก่อนหน้าอาจทำให้อาชญากรสามารถขโมยซอร์สโค้ดแบบปิดและอาจฉีดโค้ดของพวกเขาลงในที่เก็บ GitHub ของ Blockfolio และจากที่นั่นลงในแอปเอง
การค้นพบที่เกิดขึ้นโดยบังเอิญ
Paul Litvak นักวิจัยจาก บริษัท ความปลอดภัยทางไซเบอร์ Intezer ได้ทำการค้นพบเมื่อสัปดาห์ที่แล้วเมื่อเขาตัดสินใจที่จะตรวจสอบความปลอดภัยของเครื่องมือที่เกี่ยวข้องกับสกุลเงินดิจิทัลที่เขาใช้อยู่
Litvak มีส่วนร่วมในอุตสาหกรรม cryptocurrency ตั้งแต่ปี 2017 เมื่อเขามุ่งมั่นที่จะสร้างหุ่นยนต์ซื้อขายและ Blockfolio เป็นแอพ Android ที่เขาใช้จัดการกระเป๋าเงินของเขาตามแนว ระบบ Bitcoin.
“ หลังจากแก้ไขแอป [ใหม่] โดยไม่จำเป็นฉันได้ดูเวอร์ชันก่อนหน้าของแอปเพื่อดูว่าฉันสามารถค้นหาข้อมูลลับที่ถูกลืมมานานหรือจุดสิ้นสุดของเว็บที่ซ่อนอยู่ได้หรือไม่” Litvak กล่าว
"ฉันพบเวอร์ชันนี้ทันทีตั้งแต่ปี 2017 โดยการเข้าถึง GitHub API" รหัสนี้เชื่อมต่อกับที่เก็บ Github ของ บริษัท โดยใช้ชุดค่าคงที่ที่มีชื่อไฟล์และที่สำคัญที่สุดคือคีย์ที่ Github ใช้เพื่ออนุญาตการเข้าถึง ที่เก็บ
แอปขอที่เก็บ GitHub ส่วนตัวของ Blockfolio และฟีเจอร์ดังกล่าวเพียงแค่ดาวน์โหลดคำถามที่พบบ่อยของ Blockfolio โดยตรงจาก GitHub ซึ่งช่วยให้ บริษัท ไม่ต้องอัปเดตภายในแอป
แต่การปล่อยให้คีย์ถูกเปิดเผยนั้นอันตรายเนื่องจากทุกคนสามารถเข้าถึงและควบคุมที่เก็บ GitHub ทั้งหมดได้ เนื่องจากแอปมีอายุสามปี Litvak จึงตรวจสอบว่ายังมีปัญหาอยู่หรือไม่
การละเมิดความปลอดภัยยังคงมีอยู่หรือไม่
“ ฉันพบว่าโทเค็นยังคงทำงานอยู่และมี OAuth Scope 'repo' อยู่” Litvak กล่าว “ ขอบเขต OAuth” ใช้เพื่อ จำกัด การเข้าถึงบัญชีของผู้ใช้ของแอปพลิเคชัน
"ที่เก็บ" ตาม GitHub ให้สิทธิ์การเข้าถึงที่เก็บส่วนตัวและสาธารณะอย่างเต็มที่และรวมถึงการอ่าน / เขียนการเข้าถึงโค้ดสถานะการคอมมิตและโปรเจ็กต์ขององค์กรรวมถึงฟังก์ชันอื่น ๆ
"ใครก็ตามที่อยากรู้อยากเห็นมากพอที่จะถอดรหัสแอป Blockfolio แบบเก่าสามารถสร้างซ้ำและดาวน์โหลดรหัส Blockfolio ทั้งหมดและใส่รหัสที่เป็นอันตรายของตนเองลงในฐานรหัสของตนได้"
ช่องโหว่นี้เปิดเผยต่อสาธารณะมาเป็นเวลาสองปีแล้วและช่องโหว่นี้ยังคงเปิดอยู่ Litvak เตือน Blockfolio ถึงปัญหาผ่านโซเชียลมีเดียเนื่องจาก Blockfolio ไม่มีโปรแกรมเงินรางวัลบั๊กที่จะขจัดช่องโหว่
Edward Moncada ผู้ร่วมก่อตั้งและ CEO ของ Blockfolio ยืนยันเรื่องนี้กับสื่อและแจ้งว่า Blockfolio ได้เพิกถอนการเข้าถึงคีย์แล้ว ในวันต่อมา Moncada ระบุว่า Blockfolio ได้ตรวจสอบระบบแล้วและพบว่าไม่มีการเปลี่ยนแปลงใด ๆ
โทเค็นจะอนุญาตให้ใครบางคนแก้ไขซอร์สโค้ดได้ แต่ Moncada กล่าวว่าจะไม่มีความเสี่ยงในการปล่อยโค้ดที่เป็นอันตรายต่อผู้ใช้