Blockfolio тихо виправляє багаторічну діру в безпеці, яка розкрила вихідний код

«Білий капелюх», або етичний хакер, знайшов зяючу діру Блокфоліо, популярний мобільний додаток для відстеження та керування портфелем Криптовалюта . Уразливість безпеки, яка з’явилася в старіших версіях програми, могла дозволити зловмисникам викрасти закритий вихідний код і, можливо, вставити свій власний код у репозиторій GitHub Blockfolio, а звідти – у саму програму.

Дослідник безпеки в компанії з кібербезпеки Intezer, Павло Литвак, зробив це Цікаве минулого тижня, коли вирішив переглянути безпеку інструментів, пов’язаних із криптовалютою, які він використовував. Литвак займається криптовалютами з 2017 року, коли створював ботів для трейдингу, а Blockfolio — це додаток для Android, який він використовував для управління своїм портфелем.

«Після деякого часу безрезультатного перегляду їхньої [нової] програми я переглянув старіші версії програми, щоб побачити, чи зможу я знайти якісь давно забуті Secret або приховані кінцеві точки в Інтернеті», — сказав Литвак. «Незабаром я знайшов це версія з 2017 року отримати доступ до API GitHub».

Цей код підключається до репозиторію Github компанії за допомогою набору констант, які включають ім’я файлу та, що найважливіше, ключ, який Github використовує для надання доступу до сховищ. Вона відображається нижче як змінна «d».

Програма запитувала приватні репозиторії GitHub Blockfolio, і ця функція просто завантажувала поширені запитання Blockfolio безпосередньо з GitHub, позбавляючи компанію необхідності оновлювати їх у своїх програмах.

Але ключ небезпечний тим, що він може отримати доступ до цілого сховища GitHub і контролювати його. Оскільки додатку було три роки, Литваку стало цікаво, чи він досі є загрозою.

«Це серйозно, але я подумав, що, можливо, це просто якийсь старий токен, який більше не використовується, з того часу, коли вони були запущені», — сказав Литвак.

Він виявив, що ключ все ще активний.

«І я виявив, що ні, токен все ще активний і має «репо» область OAuth», — сказав він. «Область OAuth» використовується для обмеження доступу програми до облікового запису користувача.

«Репо», згідно з GitHub, надає повний доступ до приватних і загальнодоступних репозиторіїв і включає доступ для читання/запису до коду, статусів фіксації та організаційних проектів, серед інших функцій.

Читайте також: Зміни громадської Погляди щодо великих технологій і Політика конфіденційності під час пандемії

«Він використовував приватні облікові дані для доступу до свого приватного сховища коду», — сказав Литвак. "Будь-хто, кому було достатньо цікаво розробити стару програму Blockfolio, міг відтворити її, завантажити весь код Blockfolio і навіть вставити власний шкідливий код у свою кодову базу. Ви не повинні мати приватні облікові дані в програмах, які кожен може завантажити".

Уразливість була публічною протягом двох років, і діра все ще була відкритою. Литвак попередив Blockfolio про проблему через соціальні мережі, враховуючи, що Blockfolio не має програми винагороди за помилки для викорінення вразливостей.

Співзасновник і генеральний директор Blockfolio Едвард Монкада підтвердив в електронному листі CoinDesk , що маркер доступу GitHub був помилково залишений у попередній версії кодової бази додатка Blockfolio, і, отримавши сповіщення про вразливість, Blockfolio скасував доступ до ключа.

Протягом наступних кількох днів Moncada повідомила, що Blockfolio провела аудит своїх систем і підтвердила, що жодних змін не було внесено. Оскільки токен надавав доступ до коду, який був окремим від бази даних, де зберігаються дані користувача, дані користувача не були під загрозою.

Маркер дозволить комусь змінювати вихідний код, але завдяки внутрішнім процесам публікації змін у системі Moncada стверджує, що ніколи не було ризику, що шкідливий код буде опубліковано користувачам.

"Я б сказав, що в найгіршому випадку зловмисник оновить код програми та збере дані про користувачів. У них також є функція, за допомогою якої ви розміщуєте ключі API для обміну в програмі, щоб їх також можна було вкрасти", - сказав Литвак. «Але вони [Blockfolio] стверджують, що це неможливо через їхні «перевірки безпеки». Я б сказав, що краще, щоб ніхто не тестував ці перевірки безпеки».