Blockfolio ripara silenziosamente una falla di sicurezza vecchia di anni che ha esposto il codice sorgente

Un hacker "white hat", o etico, ha trovato un buco enorme inBlocco-folio, la popolare app di monitoraggio e gestione del portafoglio di Criptovaluta per dispositivi mobili. La vulnerabilità di sicurezza, apparsa nelle vecchie versioni dell'applicazione, avrebbe potuto consentire a un malintenzionato di rubare codice sorgente chiuso e, eventualmente, iniettare il proprio codice nel repository GitHub di Blockfolio e, da lì, nell'app stessa.

Un ricercatore di sicurezza presso l'azienda di sicurezza informatica Intezer,Paolo Litvak, ha fatto questa Da scoprire la scorsa settimana quando ha deciso di rivedere la sicurezza degli strumenti correlati alle criptovalute che stava utilizzando. Litvak è coinvolto nelle criptovalute dal 2017, quando era solito creare bot per il trading, e Blockfolio è un'app Android che ha utilizzato per gestire il suo portafoglio.

"Dopo aver esaminato per un po' la loro [nuova] app senza alcun risultato, ho dato un'occhiata alle versioni precedenti dell'app per vedere se potevo trovare qualche endpoint web nascosto o Secret dimenticato da tempo", ha detto Litvak. "Presto ho trovato questo versione del 2017accedendo all'API di GitHub."

Questo codice si collega al repository Github dell'azienda tramite un set di costanti che includevano un nome file e, cosa più importante, la chiave che Github usa per consentire l'accesso ai repository. Appare di seguito come variabile "d".

L'app interrogava i repository GitHub privati di Blockfolio e quella funzione scaricava semplicemente le domande frequenti di Blockfolio direttamente da GitHub, risparmiando all'azienda lo sforzo di doverle aggiornare all'interno delle sue app.

Ma la chiave è pericolosa in quanto potrebbe accedere e controllare un intero repository GitHub. Poiché l'app aveva tre anni, Litvak era curioso di sapere se fosse ancora una minaccia.

"È grave, ma ho pensato che forse si trattasse solo di un vecchio token non più in uso, risalente a quando è stato lanciato", ha affermato Litvak.

Scoprì che la chiave era ancora attiva.

"E ho scoperto che, no, il token è ancora attivo e ha un "repo" OAuth Scope", ha detto. Un "OAuth Scope" viene utilizzato per limitare l'accesso di un'applicazione all'account di un utente.

Un "repo", secondo GitHub, garantisce l'accesso completo ai repository privati e pubblici e include l'accesso in lettura/scrittura al codice, agli stati di commit e ai progetti dell'organizzazione, tra le altre funzioni.

Continua a leggere: Cambiamenti Opinioni pubblica su Big Tech e Privacy durante la pandemia

"Stava usando credenziali private per accedere al suo repository di codice privato", ha detto Litvak. "Chiunque fosse stato abbastanza curioso da fare reverse engineering della vecchia app Blockfolio avrebbe potuto riprodurla e scaricare tutto il codice di Blockfolio e persino spingere il proprio codice dannoso nella loro base di codice. Non dovresti avere credenziali private in app che chiunque può scaricare".

La vulnerabilità era pubblica da due anni e il buco era ancora aperto. Litvak ha avvisato Blockfolio del problema tramite i social media, dato che Blockfolio non ha un programma bug bounty per sradicare le vulnerabilità.

Il co-fondatore e CEO di Blockfolio Edward Moncada ha confermato in un'e-mail a CoinDesk che un token di accesso GitHub era stato erroneamente lasciato in una versione precedente del codice di base dell'app Blockfolio e, quando è stata avvisata della vulnerabilità, Blockfolio ha revocato l'accesso alla chiave.

Nei giorni successivi Moncada ha affermato che Blockfolio ha effettuato un audit dei suoi sistemi e ha confermato che non sono state apportate modifiche. Dato che il token forniva accesso a un codice separato dal database in cui sono archiviati i dati degli utenti, i dati degli utenti non erano a rischio.

Il token consentirebbe a chiunque di modificare il codice sorgente, ma attraverso i suoi processi interni per il rilascio delle modifiche al sistema, Moncada ha affermato che non c'è mai stato il rischio che venisse rilasciato agli utenti un codice dannoso.

"Direi che nel peggiore dei casi, un aggressore aggiornerebbe il codice dell'app e raccoglierebbe dati sugli utenti. Hanno anche la funzionalità in cui inserisci le chiavi API di scambio nell'app, quindi potrebbero essere rubate", ha detto Litvak. "Ma loro [Blockfolio] affermano che è impossibile a causa delle loro 'revisioni di sicurezza'. Direi che è meglio che nessuno possa testare quelle revisioni di sicurezza".