Một kẻ "mũ trắng", hay còn gọi là hacker có đạo đức, đã tìm thấy lỗ hổng trong Blockfolio, ứng dụng giám sát và quản lý danh mục đầu tư tiền điện tử phổ biến trên di động. Lỗ hổng bảo mật xuất hiện trong các phiên bản trước của ứng dụng có thể đã cho phép tội phạm ăn cắp mã nguồn đóng và có thể đưa mã của chúng vào kho lưu trữ GitHub của Blockfolio và từ đó vào chính ứng dụng.
Một khám phá tình cờ
Một nhà nghiên cứu của công ty an ninh mạng Intezer, Paul Litvak, đã phát hiện ra điều này vào tuần trước khi ông quyết định xem xét tính bảo mật của các công cụ liên quan đến tiền điện tử mà ông đang sử dụng.
Litvak đã tham gia vào ngành công nghiệp tiền điện tử từ năm 2017 khi anh ấy cam kết xây dựng một robot giao dịch và Blockfolio là một ứng dụng Android mà anh ấy sử dụng để quản lý ví của mình. Hệ thống bitcoin.
“Sau khi sửa đổi ứng dụng [mới] của họ một cách không cần thiết, tôi đã xem xét các phiên bản trước của ứng dụng để xem liệu tôi có thể tìm thấy các điểm cuối bí mật hoặc ẩn đã bị lãng quên từ lâu hay không,” Litvak nói.
"Tôi ngay lập tức tìm thấy phiên bản này từ năm 2017 bằng cách truy cập API GitHub." Mã này kết nối với kho lưu trữ Github của công ty bằng cách sử dụng một tập hợp các hằng số bao gồm tên tệp và quan trọng nhất là khóa được Github sử dụng để cho phép truy cập kho.
Ứng dụng đã yêu cầu các kho lưu trữ GitHub riêng tư của Blockfolio và tính năng đó chỉ cần tải xuống các Câu hỏi thường gặp về Blockfolio trực tiếp từ GitHub, giúp công ty tiết kiệm công sức khi phải cập nhật nó trong các ứng dụng của mình.
Nhưng việc để lộ khóa rất nguy hiểm vì bất kỳ ai cũng có thể truy cập và kiểm soát toàn bộ kho lưu trữ GitHub. Vì ứng dụng đã được ba năm tuổi, Litvak đã điều tra để xem liệu vấn đề vẫn còn ở đó.
Vi phạm bảo mật vẫn còn hoạt động?
Litvak nói: “Tôi thấy rằng mã thông báo vẫn đang hoạt động và có 'repo' Phạm vi OAuth. “Phạm vi OAuth” được sử dụng để hạn chế quyền truy cập của ứng dụng vào tài khoản của người dùng.
Theo GitHub, một "kho lưu trữ" cấp quyền truy cập đầy đủ vào các kho lưu trữ riêng và công khai và bao gồm quyền truy cập đọc / ghi vào mã, các trạng thái cam kết và các dự án tổ chức, trong số các chức năng khác.
"Bất cứ ai đủ tò mò để bẻ khóa ứng dụng Blockfolio cũ có thể đã sao chép nó và tải xuống tất cả mã Blockfolio và thậm chí đặt mã độc hại của riêng họ vào cơ sở mã của riêng họ."
Lỗ hổng này đã được công khai trong hai năm và lỗ hổng vẫn còn mở. Litvak đã cảnh báo Blockfolio về vấn đề này thông qua phương tiện truyền thông xã hội, vì Blockfolio không có chương trình thưởng lỗi để giải quyết tận gốc các lỗ hổng.
Người đồng sáng lập và CEO của Blockfolio, Edward Moncada đã xác nhận câu chuyện với giới truyền thông và thông báo rằng Blockfolio đã thu hồi quyền truy cập vào khóa. Trong những ngày tiếp theo, Moncada nói rằng Blockfolio đã kiểm tra hệ thống của nó và nhận thấy rằng không có thay đổi nào được thực hiện.
Mã thông báo sẽ cho phép ai đó sửa đổi mã nguồn, nhưng Moncada cho biết sẽ không bao giờ có nguy cơ phát hành mã độc hại cho người dùng.
