Blockfolio тихо исправляет многолетнюю дыру в безопасности, которая раскрывала исходный код

«Белый» или этичный хакер обнаружил зияющую дыру вБлокфолио, популярное мобильное приложение для отслеживания и управления портфелем Криптовалюта . Уязвимость безопасности, которая появилась в старых версиях приложения, могла позволить злоумышленнику украсть закрытый исходный код и, возможно, внедрить свой собственный код в репозиторий Blockfolio на GitHub, а оттуда — в само приложение.

Исследователь по вопросам безопасности в компании Intezer, занимающейся кибербезопасностью,Пол Литвак, сделал Истории на прошлой неделе, когда решил проверить безопасность инструментов, связанных с криптовалютой, которые он использовал. Литвак занимается криптовалютами с 2017 года, когда он создавал ботов для торговли, а Blockfolio — это приложение для Android, которое он использовал для управления своим портфелем.

«После некоторого времени безрезультатного изучения их [нового] ​​приложения я взглянул на старые версии приложения, чтобы посмотреть, смогу ли я найти какие-нибудь давно забытые Secret или скрытые веб-конечные точки», — сказал Литвак. «Вскоре я нашел это версия от 2017 годадоступ к API GitHub».

Этот код подключается к репозиторию Github компании с помощью набора констант, включающих имя файла и, что самое важное, ключ, который Github использует для разрешения доступа к репозиториям. Ниже он отображается как переменная «d».

Приложение запросило частные репозитории Blockfolio на GitHub, и эта функция просто загрузила часто задаваемые вопросы Blockfolio напрямую из GitHub, избавив компанию от необходимости обновлять их внутри своих приложений.

Но ключ опасен тем, что он может получить доступ и контролировать весь репозиторий GitHub. Поскольку приложению было три года, Литваку было интересно, представляет ли оно все еще угрозу.

«Это серьезно, но я подумал, что, возможно, это просто какой-то старый жетон, который больше не используется, с тех времен, когда они были запущены», — сказал Литвак.

Он обнаружил, что ключ все еще активен.

«И я обнаружил, что нет, токен все еще активен и имеет область действия OAuth «repo», — сказал он. «Область действия OAuth» используется для ограничения доступа приложения к учетной записи пользователя.

Согласно GitHub, «репозиторий» предоставляет полный доступ к частным и публичным репозиториям и включает в себя доступ на чтение/запись к коду, статусам коммитов и проектам организации, а также другие функции.

Читать дальше: Общественное Мнение о крупных технологиях и Политика конфиденциальности меняется во время пандемии

«Он использовал личные учетные данные для доступа к своему частному репозиторию кода», — сказал Литвак. «Любой, кто был достаточно любопытен, чтобы провести обратную разработку старого приложения Blockfolio, мог воспроизвести его и загрузить весь код Blockfolio и даже внедрить свой собственный вредоносный код в свою кодовую базу. Вы не должны иметь личные учетные данные в приложениях, которые может загрузить кто угодно».

Уязвимость была публичной в течение двух лет, и дыра все еще была открыта. Литвак сообщил Blockfolio о проблеме через социальные сети, поскольку у Blockfolio нет программы вознаграждений за ошибки для устранения уязвимостей.

Соучредитель и генеральный директор Blockfolio Эдвард Монкада подтвердил в электронном письме CoinDesk , что токен доступа GitHub был по ошибке оставлен в предыдущей версии кодовой базы приложения Blockfolio, и когда компания узнала об уязвимости, она отозвала доступ к ключу.

Moncada сообщил, что в течение следующих нескольких дней Blockfolio провела аудит своих систем и подтвердила, что никаких изменений не было. Учитывая, что токен предоставлял доступ к коду, который был отделен от базы данных, в которой хранились пользовательские данные, пользовательские данные не подвергались риску.

Токен позволяет кому-либо изменять исходный код, но, по словам Монкады, благодаря внутренним процессам внесения изменений в систему не существует риска, что вредоносный код будет передан пользователям.

«Я бы сказал, что в худшем случае злоумышленник обновит код приложения и соберет данные о пользователях. У них также есть функция, с помощью которой вы помещаете ключи API обмена в приложение, так что их тоже можно украсть», — сказал Литвак. «Но они [Blockfolio] утверждают, что это невозможно из-за их «обзоров безопасности». Я бы сказал, что лучше, чтобы никто не тестировал эти обзоры безопасности».