Ang isang puting sumbrero o etikal na hacker ay natagpuan ang isang butas sa Block portfolio, ang tanyag na mobile management ng portfolio ng portfolio at pagsubaybay sa app. Ang paglabag sa seguridad na lumitaw sa mga nakaraang bersyon ng application ay maaaring pinahintulutan ang isang kriminal na nakawin ang saradong source code at posibleng mag-iniksyon ng kanyang sariling code sa imbakan ng Block portfolio GitHub at, mula doon, sa mismong app.
Isang pagtuklas na nangyari sa pamamagitan ng pagkakataon
Ang isang tagapagsaliksik ng seguridad ng IT na si Intezer, Paul Litvak, ay nagawa ang pagtuklas noong nakaraang linggo nang magpasya siyang suriin ang seguridad ng mga tool na nauugnay sa cryptocurrency na ginagamit niya.
Litvak ay kasangkot sa industriya ng cryptocurrency mula noong 2017 nang siya ay kasangkot sa pagbuo ng isang trading robot, at ang Block portfolio ay isang Android app na ginamit niya upang pamahalaan ang kanyang pitaka kasama ang mga linya ng Bitcoin System.
"Matapos ang hindi kinakailangang pagrerepaso sa kanilang [bagong] app, tiningnan ko ang mga nakaraang bersyon ng app upang makita kung makakahanap ako ng matagal nang nakalimutan na lihim o nakatagong mga pagtatapos ng web," sabi ni Litvak.
"Natagpuan ko agad ang bersyon na ito mula sa 2017 sa pamamagitan ng pag-access sa GitHub API." Ang code na ito ay kumokonekta sa Github repositoryo ng kumpanya gamit ang isang serye ng mga constants na may kasamang isang pangalan ng file at, higit sa lahat, ang susi na ginamit ni Github upang payagan ang pag-access sa imbakan.
Hiningi ng app ang mga pribadong repository ng GitHub ng portfolio at ang function na na-download lamang ang madalas na mga katanungan ng Block portfolio nang direkta sa GitHub, pag-iwas sa kumpanya ng pagsisikap na mai-update ito sa loob ng mga apps nito.
Ngunit ang pag-iiwan ng susi na nakalantad ay mapanganib dahil maaaring ma-access at kontrolin ng sinuman ang isang buong repasyo sa GitHub. Dahil ang app ay tatlong taong gulang, si Litvak ay sinisiyasat upang malaman kung ang problema ay naroroon pa rin.
Aktibo pa rin ang security flaw?
"Natuklasan ko na ang token ay aktibo pa rin at may isang repo ng OAuth Scope", "sabi ni Litvak. Ang isang "OAuth Scope" ay ginagamit upang limitahan ang pag-access ng isang aplikasyon sa account ng isang gumagamit.
Ang isang "imbakan", ayon sa GitHub, ginagarantiyahan ang buong pag-access sa mga pribado at pampublikong repositori at kasama ang pagbasa / pagsulat ng pag-access sa code, gumawa ng mga estado at mga proyekto ng samahan, bukod sa iba pang mga pag-andar.
"Ang sinumang may sapat na pag-usisa upang mabasa ang lumang app ng portfolio ng portfolio ay maaaring kopyahin ito at na-download ang lahat ng code ng Blockfolio at kahit na ilagay ang kanilang malisyosong code sa kanilang sariling code base."
Ang kahinaan na ito ay naging publiko sa loob ng dalawang taon at ang butas ay bukas pa rin. Nagbabala si Litvak sa Block portfolio ng problema sa pamamagitan ng social media, dahil ang Block portfolio ay walang isang bug na halaga ng bug upang matanggal ang mga kahinaan.
Ang co-founder ng Blockfolio at CEO na si Edward Moncada ay nagkumpirma sa kwento sa media at inihayag na tinanggal ng Block portfolio ang pag-access sa key. Sa mga sumunod na araw sinabi ni Moncada na nagsagawa ng pag-audit ang Block portfolio ng mga system nito at natagpuan na walang pagbabago ang nagawa.
Pinahihintulutan ng token na may isang tao na baguhin ang source code, ngunit sinabi ni Moncada na hindi kailanman magiging panganib sa paglabas ng malisyosong code sa mga gumagamit.
