Blockfolio corrige discrètement une faille de sécurité vieille de plusieurs années qui exposait le code source

Un hacker « white hat », ou éthique, a trouvé une faille béante dansBlockfolio, l'application mobile populaire de suivi et de gestion de portefeuilles de Cryptomonnaie . La faille de sécurité, apparue dans d'anciennes versions de l'application, aurait pu permettre à un acteur malveillant de voler du code source fermé et d'injecter son propre code dans le dépôt GitHub de Blockfolio, puis dans l'application elle-même.

Chercheur en sécurité chez Intezer, une société de cybersécurité,Paul Litvak, a fait cette À découvrir la semaine dernière en décidant de vérifier la sécurité des outils liés aux cryptomonnaies qu'il utilisait. Litvak est impliqué dans les cryptomonnaies depuis 2017, année où il créait des robots de trading, et Blockfolio est une application Android qu'il utilisait pour gérer son portefeuille.

« Après avoir passé du temps à examiner leur [nouvelle] application sans succès, j'ai examiné d'anciennes versions pour voir si je pouvais trouver des Secret oubliés depuis longtemps ou des points d'accès web cachés », a déclaré Litvak. « J'ai rapidement trouvé ceci. version de 2017accéder à l’API de GitHub. »

Ce code se connecte au dépôt Github de l'entreprise à l'aide d'un ensemble de constantes comprenant un nom de fichier et, surtout, la clé utilisée par Github pour autoriser l'accès aux dépôts. Elle apparaît ci-dessous sous la forme de la variable « d ».

L'application a interrogé les référentiels GitHub privés de Blockfolio, et cette fonction a tout simplement téléchargé les questions fréquemment posées de Blockfolio directement depuis GitHub, évitant à l'entreprise l'effort de devoir les mettre à jour dans ses applications.

Mais la clé est dangereuse, car elle pourrait accéder à un dépôt GitHub entier et le contrôler. Comme l'application avait trois ans, Litvak se demandait si elle représentait toujours une menace.

« C’est grave, mais je pensais que c’était peut-être juste un vieux jeton qui n’était plus utilisé, datant de l’époque où ils ont été lancés », a déclaré Litvak.

Il a découvert que la clé était toujours active.

« Et j'ai découvert que non, le jeton est toujours actif et possède une portée OAuth de type « dépôt » », a-t-il déclaré. Une « portée OAuth » sert à limiter l'accès d'une application au compte d'un utilisateur.

Un « repo », selon GitHub, accorde un accès complet aux référentiels privés et publics, et inclut un accès en lecture/écriture au code, aux statuts de validation et aux projets d'organisation, entre autres fonctions.

Sur le même sujet : Analyses publique évolue sur les géants de la technologie et la Politique de confidentialité pendant la pandémie

« L'application utilisait des identifiants privés pour accéder à son référentiel de code privé », a expliqué Litvak. « N'importe qui, assez curieux pour effectuer une rétro-ingénierie de l'ancienne application Blockfolio, aurait pu la reproduire, télécharger l'intégralité du code de Blockfolio et même y insérer son propre code malveillant. Il est interdit d'utiliser des identifiants privés dans des applications téléchargeables par tous. »

La vulnérabilité était connue depuis deux ans et la faille était toujours ouverte. Litvak a alerté Blockfolio du problème via les réseaux sociaux, car Blockfolio ne dispose pas de programme de primes aux bugs pour éliminer les vulnérabilités.

Le cofondateur et PDG de Blockfolio, Edward Moncada, a confirmé dans un e-mail à CoinDesk qu'un jeton d'accès GitHub avait été laissé par erreur dans une version précédente de la base de code de l'application Blockfolio, et lorsqu'il a été alerté de la vulnérabilité, Blockfolio a révoqué l'accès à la clé.

Au cours des jours suivants, Moncada a déclaré que Blockfolio avait procédé à un audit de ses systèmes et confirmé qu'aucune modification n'avait été apportée. Étant donné que le jeton donnait accès à un code distinct de la base de données où sont stockées les données des utilisateurs, ces dernières n'étaient pas menacées.

Le jeton permettrait à quelqu'un de modifier le code source, mais grâce à ses processus internes de publication des modifications dans le système, Moncada a déclaré qu'il n'y avait jamais eu de risque qu'un code malveillant soit publié auprès des utilisateurs.

« Je dirais que dans le pire des cas, un attaquant mettrait à jour le code de l'application et collecterait des données sur les utilisateurs. Ils proposent également une fonctionnalité permettant d'intégrer des clés API d'échange dans l'application, ce qui pourrait également être volé », a déclaré Litvak. « Mais ils [Blockfolio] prétendent que c'est impossible en raison de leurs "vérifications de sécurité". Je dirais qu'il est préférable que personne ne teste ces vérifications de sécurité. »