Ein „White Hat“ oder ethischer Hacker hat eine Lücke in Blockfolio, der beliebten mobilen App zur Verwaltung und Überwachung von Kryptowährungs-Wallets, gefunden. Die in früheren Versionen der App aufgetretene Sicherheitslücke hätte es einem Angreifer ermöglichen können, den geschlossenen Quellcode zu stehlen und möglicherweise seinen eigenen Code in das GitHub-Repository von Blockfolio und von dort in die App selbst einzuschleusen.
Eine zufällige Entdeckung
Ein Forscher des Cybersicherheitsunternehmens Intezer, Paul Litvak, machte die Entdeckung letzte Woche, als er sich daran machte, die Sicherheit der von ihm verwendeten kryptowährungsbezogenen Tools zu überprüfen.
Litvak ist seit 2017 in der Kryptowährungsbranche tätig, als er begann, einen Handelsroboter zu bauen, und Blockfolio ist eine Android-App, mit der er sein Portfolio nach diesem Vorbild verwaltete Bitcoin System.
„Nachdem ich ihre [neue] App erfolglos überprüft hatte, schaute ich mir frühere Versionen der App an, um zu sehen, ob ich längst vergessene geheime oder versteckte Web-Endpunkte finden konnte“, sagte Litvak.
„Ich habe diese Version aus dem Jahr 2017 sofort gefunden, indem ich auf die GitHub-API zugegriffen habe.“ Dieser Code stellt über eine Reihe von Konstanten eine Verbindung zum Github-Repository des Unternehmens her, zu denen ein Dateiname und vor allem der Schlüssel gehören, den Github verwendet, um den Zugriff auf das Repository zu ermöglichen.
Die App forderte die privaten GitHub-Repositories von Blockfolio an, und diese Funktion lud einfach die FAQ von Blockfolio direkt von GitHub herunter, was dem Unternehmen den Aufwand erspart, sie innerhalb seiner Apps aktualisieren zu müssen.
Es ist jedoch gefährlich, den Schlüssel preiszugeben, da jeder auf ein gesamtes GitHub-Repository zugreifen und es kontrollieren kann. Da die App drei Jahre alt ist, hat Litvak untersucht, ob das Problem immer noch besteht.
Ist die Sicherheitslücke noch aktiv?
„Ich habe herausgefunden, dass der Token noch aktiv ist und über ein OAuth Scope-Repo verfügt“, sagte Litvak. Ein „OAuth-Bereich“ wird verwendet, um den Zugriff einer Anwendung auf das Konto eines Benutzers zu beschränken.
Ein „Repository“ gewährt laut GitHub vollständigen Zugriff auf private und öffentliche Repositorys und umfasst unter anderem Lese-/Schreibzugriff auf Code, Commit-Status und Organisationsprojekte.
„Jeder, der neugierig genug ist, die alte Blockfolio-App zurückzuentwickeln, hätte sie reproduzieren und den gesamten Blockfolio-Code herunterladen und sogar seinen eigenen Schadcode in seine Codebasis einspeisen können.“
Diese Sicherheitslücke war seit zwei Jahren öffentlich und die Lücke war immer noch offen. Litvak machte Blockfolio über soziale Medien auf das Problem aufmerksam, da Blockfolio kein Bug-Bounty-Programm zur Beseitigung der Schwachstellen hat.
Edward Moncada, Mitbegründer und CEO von Blockfolio, bestätigte die Geschichte gegenüber den Medien und gab bekannt, dass Blockfolio den Zugriff auf den Schlüssel widerrufen hat. In den folgenden Tagen sagte Moncada, Blockfolio habe seine Systeme überprüft und festgestellt, dass keine Änderungen vorgenommen worden seien.
Der Token würde es jemandem ermöglichen, den Quellcode zu ändern, aber Moncada sagte, es bestehe niemals das Risiko, bösartigen Code an Benutzer weiterzugeben.
