Bir "beyaz şapka" veya etik hacker, popüler mobil kripto para birimi portföy yönetimi ve izleme uygulaması olan Blockfolio'da bir boşluk buldu. Uygulamanın önceki sürümlerinde ortaya çıkan güvenlik açığı, bir suçlunun kapalı kaynak kodunu çalmasına ve muhtemelen kodunu Blockfolio'nun GitHub deposuna ve oradan uygulamanın kendisine enjekte etmesine izin verebilirdi.
Şans eseri gerçekleşen bir keşif
Siber güvenlik firması Intezer'den bir araştırmacı Paul Litvak, kullandığı kripto para ile ilgili araçların güvenliğini gözden geçirmeye karar verdiğinde keşfi geçen hafta yaptı.
Litvak, bir ticaret robotu oluşturmayı taahhüt ettiği 2017'den beri kripto para birimi endüstrisinde yer almaktadır ve Blockfolio, cüzdanını aşağıdaki satırlarda yönetmek için kullandığı bir Android uygulamasıdır. Bitcoin Sistemi.
Litvak, "[Yeni] uygulamalarını gereksiz yere revize ettikten sonra, uzun zamandır unutulmuş gizli veya gizli web uç noktalarını bulup bulamayacağımı görmek için uygulamanın önceki sürümlerine göz attım," dedi.
"GitHub API'ye erişerek 2017'den itibaren bu sürümü hemen buldum." Bu kod, bir dosya adı ve en önemlisi Github tarafından erişime izin vermek için kullanılan anahtar içeren bir dizi sabit kullanarak şirketin Github deposuna bağlanır. depo.
Uygulama, Blockfolio'nun özel GitHub depolarını talep etti ve bu özellik, Blockfolio SSS'lerini doğrudan GitHub'dan indirerek şirketi uygulamaları içinde güncelleme zahmetinden kurtardı.
Ancak anahtarı açık bırakmak tehlikelidir, çünkü herkes bir GitHub deposunun tamamına erişebilir ve onu kontrol edebilir. Uygulama üç yaşında olduğu için Litvak, sorunun hala orada olup olmadığını araştırdı.
Güvenlik ihlali hala aktif mi?
Litvak, "Jetonun hala aktif olduğunu ve bir OAuth Kapsam deposu olduğunu buldum" dedi. Bir uygulamanın bir kullanıcının hesabına erişimini kısıtlamak için bir "OAuth Kapsamı" kullanılır.
GitHub'a göre bir "depo", özel ve genel depolara tam erişim sağlar ve diğer işlevlerin yanı sıra koda okuma / yazma erişimi, tamamlama durumları ve organizasyon projelerini içerir.
"Eski Blockfolio uygulamasını kıracak kadar meraklı biri, onu yeniden oluşturup tüm Blockfolio kodunu indirebilir ve hatta kendi kötü amaçlı kodlarını kod tabanına koyabilirdi."
Bu güvenlik açığı iki yıldır halka açıktı ve boşluk hala açıktı. Litvak, Blockfolio'nun güvenlik açıklarını ortadan kaldırmak için bir hata ödül programı olmadığı için sosyal medya aracılığıyla Blockfolio'yu sorun konusunda uyardı.
Blockfolio kurucu ortağı ve CEO'su Edward Moncada, hikayeyi medyaya doğruladı ve Blockfolio'nun anahtara erişimi iptal ettiğini bildirdi. Sonraki günlerde Moncada, Blockfolio'nun sistemlerini denetlediğini ve herhangi bir değişiklik yapılmadığını tespit ettiğini belirtti.
Belirteç, birisinin kaynak kodunu değiştirmesine izin verirdi, ancak Moncada, kullanıcılara kötü amaçlı kod verme riski olmayacağını söyledi.
