Ein weißer Hut oder ein ethischer Hacker hat eine Lücke in Blockfolio gefunden, der beliebten mobilen App zur Verwaltung und Überwachung von Kryptowährungsportfolios. Die Sicherheitsverletzung, die in früheren Versionen der Anwendung aufgetreten ist, hätte es einem Kriminellen ermöglichen können, den geschlossenen Quellcode zu stehlen und möglicherweise seinen eigenen Code in das Blockfolio GitHub-Repository und von dort in die App selbst einzufügen.
Eine zufällige Entdeckung
Ein Forscher der Computersicherheitsfirma Intezer, Paul Litvak, machte diese Entdeckung letzte Woche, als er beschloss, die Sicherheit der von ihm verwendeten Kryptowährungstools zu überprüfen.
Litvak ist seit 2017 in der Kryptowährungsbranche tätig, als er sich mit dem Bau eines Handelsroboters befasste. Blockfolio ist eine Android-App, mit der er seine Brieftasche nach dem Vorbild von verwaltet hat Bitcoin System.
"Nachdem ich ihre [neue] App unnötig überprüft hatte, habe ich mir frühere Versionen der App angesehen, um festzustellen, ob ich längst vergessene geheime oder versteckte Webendpunkte finden konnte", sagte Litvak.
"Ich habe diese Version ab 2017 sofort gefunden, indem ich auf die GitHub-API zugegriffen habe." Dieser Code stellt mithilfe einer Reihe von Konstanten, die einen Dateinamen und vor allem den von Github verwendeten Schlüssel für den Zugriff auf die Version enthalten, eine Verbindung zum Github-Repository des Unternehmens her Repository.
Die App forderte die privaten GitHub-Repositorys von Blockfolio an, und diese Funktion lud einfach die häufig gestellten Fragen von Blockfolio direkt von GitHub herunter, sodass das Unternehmen nicht die Mühe hatte, sie innerhalb seiner Apps aktualisieren zu müssen.
Es ist jedoch gefährlich, den Schlüssel offen zu lassen, da jeder auf ein gesamtes GitHub-Repository zugreifen und es steuern kann. Da die App drei Jahre alt ist, hat Litvak untersucht, ob das Problem noch besteht.
Ist die Sicherheitslücke noch aktiv?
"Ich habe festgestellt, dass der Token noch aktiv ist und ein OAuth Scope" -Repo "hat, sagte Litvak. Ein "OAuth-Bereich" wird verwendet, um den Zugriff einer Anwendung auf das Konto eines Benutzers zu beschränken.
Ein "Repository" gewährleistet laut GitHub den vollständigen Zugriff auf private und öffentliche Repositorys und umfasst unter anderem Lese- / Schreibzugriff auf Code, Commit-Status und Organisationsprojekte.
"Jeder, der neugierig genug ist, die alte Blockfolio-App zu entschlüsseln, hätte sie reproduzieren und den gesamten Blockfolio-Code herunterladen und sogar seinen Schadcode in seine eigene Codebasis einfügen können."
Diese Sicherheitslücke war seit zwei Jahren öffentlich und das Loch war noch offen. Litvak hat Blockfolio über soziale Medien vor dem Problem gewarnt, da Blockfolio kein Bug-Bounty-Programm zur Beseitigung von Sicherheitslücken hat.
Edward Moncada, Mitbegründer und CEO von Blockfolio, bestätigte den Medien die Geschichte und gab bekannt, dass Blockfolio den Zugriff auf den Schlüssel widerrufen habe. In den folgenden Tagen gab Moncada an, dass Blockfolio eine Prüfung seiner Systeme durchgeführt habe und festgestellt habe, dass keine Änderungen vorgenommen worden seien.
Das Token hätte es jemandem ermöglicht, den Quellcode zu ändern, aber Moncada sagte, es würde niemals das Risiko bestehen, bösartigen Code an Benutzer weiterzugeben.
Italian
Arabic
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
German
Greek
Hungarian
Indonesian
Latvian
Lithuanian
Malay
Norwegian
Polish
Portuguese
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Vietnamese