Blockfolio corrige discretamente uma falha de segurança de anos que expôs o código-fonte

Um hacker "white hat" ou ético encontrou uma lacuna enormeBlocofolio, o popular aplicativo de gerenciamento e rastreamento de portfólio de Criptomoeda para dispositivos móveis. A vulnerabilidade de segurança, que apareceu em versões mais antigas do aplicativo, poderia ter permitido que um agente mal-intencionado roubasse código-fonte fechado e possivelmente injetasse seu próprio código no repositório GitHub do Blockfolio e, de lá, no próprio aplicativo.

Um pesquisador de segurança na empresa de segurança cibernética Intezer,Paulo Litvak, fez a Confira na semana passada quando decidiu revisar a segurança das ferramentas relacionadas a criptomoedas que estava usando. Litvak está envolvido com criptomoedas desde 2017, quando costumava criar bots para negociação, e o Blockfolio é um aplicativo Android que ele usava para gerenciar seu portfólio.

“Depois de algum tempo revisando seu [novo] aplicativo sem sucesso, dei uma olhada em versões mais antigas do aplicativo para ver se conseguia encontrar algum Secret há muito esquecido ou endpoints da web ocultos”, disse Litvak. “Logo encontrei isso versão de 2017acessando a API do GitHub.”

Este código se conecta ao repositório Github da empresa usando um conjunto de constantes que incluíam um nome de arquivo e, mais importante, a chave que o Github usa para permitir acesso aos repositórios. Ele aparece abaixo como a variável “d”.

O aplicativo consultou os repositórios privados do Blockfolio no GitHub, e essa função simplesmente baixou as perguntas frequentes do Blockfolio diretamente do GitHub, poupando a empresa do esforço de ter que atualizá-lo dentro de seus aplicativos.

Mas a chave é perigosa, pois pode acessar e controlar um repositório GitHub inteiro. Como o aplicativo tinha três anos, Litvak estava curioso para saber se ele ainda era uma ameaça.

“Isso é grave, mas pensei que talvez fosse apenas um token antigo que não estava mais em uso, da época em que eles foram lançados”, disse Litvak.

A chave, ele descobriu, ainda estava ativa.

“E eu descobri que, não, o token ainda está ativo e tem um “repo” OAuth Scope”, ele disse. Um “OAuth Scope” é usado para limitar o acesso de um aplicativo à conta de um usuário.

Um “repo”, de acordo com o GitHub, concede acesso total a repositórios públicos e privados e inclui acesso de leitura/gravação ao código, status de confirmação e projetos da organização, entre outras funções.

Leia Mais: A Opinião pública muda sobre as grandes empresas de tecnologia e Política de Privacidade durante a pandemia

“Ele estava usando credenciais privadas para acessar seu repositório de código privado”, disse Litvak. “Qualquer um que fosse curioso o suficiente para fazer engenharia reversa no antigo aplicativo Blockfolio poderia tê-lo reproduzido e baixado todo o código do Blockfolio e até mesmo enviado seu próprio código malicioso para sua base de código. Você não deve ter credenciais privadas em aplicativos que qualquer um pode baixar.”

A vulnerabilidade era pública há dois anos e o buraco ainda estava aberto. Litvak alertou o Blockfolio sobre o problema por meio de mídia social, já que o Blockfolio não tem um programa de recompensa por bugs para erradicar vulnerabilidades.

O cofundador e CEO da Blockfolio, Edward Moncada, confirmou em um e-mail ao CoinDesk que um token de acesso ao GitHub foi deixado por engano em uma versão anterior da base de código do aplicativo Blockfolio e, quando alertado sobre a vulnerabilidade, a Blockfolio revogou o acesso à chave.

Nos dias seguintes, Moncada disse que a Blockfolio fez uma auditoria de seus sistemas e confirmou que nenhuma alteração foi feita. Dado que o token forneceu acesso ao código que era separado do banco de dados onde os dados do usuário são armazenados, os dados do usuário não estavam em risco.

O token permitiria que alguém alterasse o código-fonte, mas, por meio de seus processos internos para liberar alterações no sistema, Moncada disse que nunca houve risco de que código malicioso fosse liberado para os usuários.

"Eu diria que no pior cenário, um invasor atualizaria o código do aplicativo e coletaria dados sobre os usuários. Eles também têm o recurso em que você coloca chaves de API de troca no aplicativo, então isso também pode ser roubado", disse Litvak. "Mas eles [Blockfolio] alegam que isso é impossível por causa de suas 'análises de segurança'. Eu diria que é melhor que ninguém teste essas análises de segurança."