Een IT-beveiligingsonderzoeker Intezer, Paul Litvak, deed vorige week de ontdekking toen hij besloot om de beveiliging van de cryptocurrency-gerelateerde tools die hij gebruikte te herzien.
Litvak is sinds 2017 betrokken bij de cryptocurrency-industrie toen hij betrokken raakte bij het bouwen van een handelsrobot, en Blockfolio is een Android-app die hij gebruikte om zijn portemonnee te beheren in de trant van Bitcoin-systeem.
"Nadat ik hun [nieuwe] app onnodig had bekeken, heb ik eerdere versies van de app bekeken om te zien of ik lang vergeten geheime of verborgen webeindpunten kon vinden", zei Litvak.
"Ik heb deze versie van 2017 onmiddellijk gevonden door toegang te krijgen tot de GitHub API." Deze code maakt verbinding met de Github-repository van het bedrijf met behulp van een reeks constanten die een bestandsnaam bevat en vooral de sleutel die Github gebruikt om toegang te verlenen tot de opslagplaats.
De app vroeg Blockfolio's privé GitHub-opslagplaatsen aan en die functie downloadde eenvoudig de veelgestelde vragen van Blockfolio rechtstreeks van GitHub, waardoor het bedrijf de moeite vermeed om het binnen zijn apps te moeten updaten.
Maar het achterlaten van de sleutel is gevaarlijk omdat iedereen toegang heeft tot een volledige GitHub-repository. Aangezien de app drie jaar oud is, heeft Litvak onderzocht of het probleem nog steeds aanwezig was.
"Ik kwam erachter dat het token nog steeds actief is en een OAuth-bereik heeft", "aldus Litvak. Een "OAuth Scope" wordt gebruikt om de toegang van een applicatie tot een gebruikersaccount te beperken.
Een "repository", volgens GitHub, zorgt voor volledige toegang tot private en publieke repositories en omvat lees- / schrijftoegang tot code, commit staten en organisatieprojecten, naast andere functies.
"Iedereen die nieuwsgierig genoeg was om de oude Blockfolio-app te decoderen, had deze kunnen reproduceren en alle Blockfolio-code kunnen downloaden en zelfs hun kwaadaardige code in hun eigen codebase kunnen invoegen."
Deze kwetsbaarheid was al twee jaar openbaar en het gat was nog steeds open. Litvak heeft Blockfolio voor het probleem gewaarschuwd via sociale media, omdat Blockfolio geen bugbounty-programma heeft om kwetsbaarheden uit te roeien.
Edward Moncada, medeoprichter en CEO van Blockfolio, bevestigde het verhaal aan de media en kondigde aan dat Blockfolio de toegang tot de sleutel had ingetrokken. In de daaropvolgende dagen verklaarde Moncada dat Blockfolio een audit van haar systemen had uitgevoerd en dat er geen wijzigingen waren aangebracht.
Met het token zou iemand de broncode kunnen wijzigen, maar Moncada zei dat er nooit een risico zou bestaan dat kwaadaardige code aan gebruikers zou worden vrijgegeven.
Cryptocurrencies hebben een revolutie teweeggebracht in de wereld van economie en investeringen en bieden een gedecentraliseerd alternatief voor traditionele...
Milkomedia-C1 heeft de integratie aangekondigd van het DJed stablecoin-netwerk op zijn platform. Milkomeda C1, een…
Cryptocurrencies zijn de afgelopen tien jaar enorm populair geworden en trekken investeerders van over de hele wereld aan. Echter,…
De voormalige cryptocurrency exchange FTX was gevestigd op de Bahama's. De eilandnatie is niet...
Terwijl de acceptatie van Shiba Inu omhoog schiet, de memecoin en het hele Shiba-ecosysteem...
De acceptatie van digitale valuta's zoals Bitcoin is onverminderd blijven groeien. Veel…