Een witte hoed of ethische hacker heeft een gat gevonden in Blockfolio, de populaire app voor het beheren en bewaken van mobiele cryptocurrency-portefeuilles. Het beveiligingslek dat in eerdere versies van de applicatie verscheen, had een crimineel in staat kunnen stellen de gesloten broncode te stelen en mogelijk zijn eigen code in de Blockfolio GitHub-repository te injecteren en vandaar in de app zelf.
Een ontdekking die toevallig is gebeurd
Een IT-beveiligingsonderzoeker Intezer, Paul Litvak, deed vorige week de ontdekking toen hij besloot om de beveiliging van de cryptocurrency-gerelateerde tools die hij gebruikte te herzien.
Litvak is sinds 2017 betrokken bij de cryptocurrency-industrie toen hij betrokken raakte bij het bouwen van een handelsrobot, en Blockfolio is een Android-app die hij gebruikte om zijn portemonnee te beheren in de trant van Bitcoin-systeem.
"Nadat ik hun [nieuwe] app onnodig had bekeken, heb ik eerdere versies van de app bekeken om te zien of ik lang vergeten geheime of verborgen webeindpunten kon vinden", zei Litvak.
"Ik heb deze versie van 2017 onmiddellijk gevonden door toegang te krijgen tot de GitHub API." Deze code maakt verbinding met de Github-repository van het bedrijf met behulp van een reeks constanten die een bestandsnaam bevat en vooral de sleutel die Github gebruikt om toegang te verlenen tot de opslagplaats.
De app vroeg Blockfolio's privé GitHub-opslagplaatsen aan en die functie downloadde eenvoudig de veelgestelde vragen van Blockfolio rechtstreeks van GitHub, waardoor het bedrijf de moeite vermeed om het binnen zijn apps te moeten updaten.
Maar het achterlaten van de sleutel is gevaarlijk omdat iedereen toegang heeft tot een volledige GitHub-repository. Aangezien de app drie jaar oud is, heeft Litvak onderzocht of het probleem nog steeds aanwezig was.
Is de beveiligingsfout nog steeds actief?
"Ik kwam erachter dat het token nog steeds actief is en een OAuth-bereik heeft", "aldus Litvak. Een "OAuth Scope" wordt gebruikt om de toegang van een applicatie tot een gebruikersaccount te beperken.
Een "repository", volgens GitHub, zorgt voor volledige toegang tot private en publieke repositories en omvat lees- / schrijftoegang tot code, commit staten en organisatieprojecten, naast andere functies.
"Iedereen die nieuwsgierig genoeg was om de oude Blockfolio-app te decoderen, had deze kunnen reproduceren en alle Blockfolio-code kunnen downloaden en zelfs hun kwaadaardige code in hun eigen codebase kunnen invoegen."
Deze kwetsbaarheid was al twee jaar openbaar en het gat was nog steeds open. Litvak heeft Blockfolio voor het probleem gewaarschuwd via sociale media, omdat Blockfolio geen bugbounty-programma heeft om kwetsbaarheden uit te roeien.
Edward Moncada, medeoprichter en CEO van Blockfolio, bevestigde het verhaal aan de media en kondigde aan dat Blockfolio de toegang tot de sleutel had ingetrokken. In de daaropvolgende dagen verklaarde Moncada dat Blockfolio een audit van haar systemen had uitgevoerd en dat er geen wijzigingen waren aangebracht.
Met het token zou iemand de broncode kunnen wijzigen, maar Moncada zei dat er nooit een risico zou bestaan dat kwaadaardige code aan gebruikers zou worden vrijgegeven.
