Tahimik na Tinatapik ng Blockfolio ang Taon-gulang na Security Hole Na Nalantad ang Source Code

Nakahanap ng nakanganga na butas ang isang "puting sumbrero," o etikal, na hacker Blockfolio, ang sikat na mobile Cryptocurrency portfolio tracking at management app. Ang kahinaan sa seguridad, na lumabas sa mga mas lumang bersyon ng application, ay maaaring nagbigay-daan sa isang masamang aktor na magnakaw ng closed source code at posibleng mag-inject ng sarili nilang code sa Blockfolio's GitHub repository at, mula doon, sa app mismo.

Isang security researcher sa cybersecurity firm na Intezer, Paul Litvak, ginawa ang Discovery noong nakaraang linggo nang magpasya siyang suriin ang seguridad ng mga tool na may kaugnayan sa cryptocurrency na ginagamit niya. Si Litvak ay kasangkot sa mga cryptocurrencies mula noong 2017 nang siya ay bumuo ng mga bot para sa pangangalakal, at ang Blockfolio ay isang Android app na ginamit niya para sa pamamahala ng kanyang portfolio.

"Pagkatapos ng ilang oras na pagsusuri sa kanilang [bagong] app nang walang pakinabang, tiningnan ko ang mga mas lumang bersyon ng app upang makita kung makakahanap ako ng anumang matagal nang nakalimutang Secret o nakatagong mga web endpoint," sabi ni Litvak. “Di nagtagal ay nahanap ko na ito bersyon mula 2017 pag-access sa API ng GitHub."

Ang code na ito ay kumokonekta sa Github repository ng kumpanya gamit ang isang set ng mga constant na may kasamang filename at, higit sa lahat, ang key na ginagamit ng Github para payagan ang access sa mga repository. Lumilitaw ito sa ibaba bilang variable na "d."

Tinanong ng app ang mga pribadong GitHub repository ng Blockfolio, at ang function na iyon ay nag-download ng mga madalas itanong ng Blockfolio nang direkta mula sa GitHub, na nagliligtas sa kumpanya mula sa pagsisikap na i-update ito sa loob ng mga app nito.

Ngunit ang susi ay mapanganib dahil maaari itong ma-access at makontrol ang isang buong repositoryo ng GitHub. Dahil tatlong taong gulang ang app, na-curious si Litvak kung banta pa rin ito.

"Malubha ito, ngunit naisip ko na marahil ito ay ilang lumang token na hindi na ginagamit, mula sa likod noong inilunsad nila," sabi ni Litvak.

Ang susi, natuklasan niya, ay aktibo pa rin.

"At nalaman ko na, hindi, aktibo pa rin ang token at may "repo" na OAuth Scope," sabi niya. Ang isang "OAuth Scope" ay ginagamit upang limitahan ang access ng isang application sa account ng isang user.

Ang isang "repo," ayon sa GitHub, ay nagbibigay ng ganap na access sa mga pribado at pampublikong repositoryo, at kasama ang read/write access sa code, commit status at mga proyekto ng organisasyon, bukod sa iba pang mga function.

Read More: Mga Pagbabago ng Pampublikong Opinyon sa Big Tech at Privacy sa Panahon ng Pandemic

"Gumagamit ito ng mga pribadong kredensyal upang ma-access ang pribadong imbakan ng code," sabi ni Litvak. "Maaaring kopyahin ito ng sinumang interesadong mag-reverse-engineer ng lumang Blockfolio app at mag-download ng lahat ng code ng Blockfolio at mag-push pa ng sarili nilang malisyosong code sa kanilang code base. Hindi ka dapat magkaroon ng mga pribadong kredensyal sa mga app na mada-download ng sinuman."

Ang kahinaan ay naging pampubliko sa loob ng dalawang taon at ang butas ay bukas pa rin. Inalerto ni Litvak ang Blockfolio sa isyu sa pamamagitan ng social media, dahil ang Blockfolio ay walang bug bounty program para alisin ang mga kahinaan.

Kinumpirma ng Blockfolio Co-Founder at CEO na si Edward Moncada sa isang email sa CoinDesk na ang isang GitHub access token ay nagkamali sa isang nakaraang bersyon ng Blockfolio app codebase, at nang maalerto sa kahinaan, binawi ng Blockfolio ang access sa key.

Sa susunod na ilang araw, sinabi ni Moncada na nag-audit ang Blockfolio sa mga system nito at nakumpirma na walang pagbabagong ginawa. Dahil sa token na nagbigay ng access sa code na hiwalay sa database kung saan nakaimbak ang data ng user, hindi nasa panganib ang data ng user.

Ang token ay magpapahintulot sa isang tao na baguhin ang source code, ngunit sa pamamagitan ng mga panloob na proseso nito para sa pagpapalabas ng mga pagbabago sa system, sinabi ni Moncada na walang panganib na mailalabas ang malicious code sa mga user.

"Sasabihin ko ang pinakamasamang sitwasyon, ang isang attacker ay mag-a-update ng code ng app at mangolekta ng data tungkol sa mga user. Mayroon din silang feature kung saan mo inilalagay ang mga exchange API key sa app upang ito ay manakaw din," sabi ni Litvak. "Ngunit inaangkin nila [Blockfolio] na imposible iyon dahil sa kanilang 'mga pagsusuri sa seguridad.' Masasabi kong pinakamabuting walang sumubok sa mga pagsusuri sa seguridad na iyon."