Un chapeau blanc ou un pirate éthique a trouvé un trou dans Blockfolio, l'application de gestion et de surveillance de portefeuille de crypto-monnaie mobile populaire. La faille de sécurité apparue dans les versions précédentes de l'application aurait pu permettre à un criminel de voler le code source fermé et éventuellement d'injecter son propre code dans le référentiel Blockfolio GitHub et, à partir de là, dans l'application elle-même.
Une découverte qui s'est produite par hasard
Un chercheur de la société de sécurité informatique Intezer, Paul Litvak, a fait la découverte la semaine dernière lorsqu'il a décidé de revoir la sécurité des outils liés à la crypto-monnaie qu'il utilisait.
Litvak est impliqué dans l'industrie de la crypto-monnaie depuis 2017, date à laquelle il s'est impliqué dans la construction d'un robot de trading, et Blockfolio est une application Android qu'il a utilisée pour gérer son portefeuille selon les principes de Bitcoin System.
"Après avoir inutilement examiné leur [nouvelle] application, j'ai jeté un œil aux versions précédentes de l'application pour voir si je pouvais trouver des points de terminaison Web secrets ou cachés depuis longtemps", a déclaré Litvak.
"J'ai immédiatement trouvé cette version à partir de 2017 en accédant à l'API GitHub." Ce code se connecte au référentiel Github de l'entreprise en utilisant une série de constantes qui inclut un nom de fichier et, surtout, la clé utilisée par Github pour permettre l'accès à la dépôt.
L'application a demandé les référentiels GitHub privés de Blockfolio et cette fonction a simplement téléchargé les questions fréquemment posées de Blockfolio directement depuis GitHub, évitant à l'entreprise l'effort d'avoir à le mettre à jour dans ses applications.
Mais laisser la clé exposée est dangereux car n'importe qui peut accéder et contrôler un référentiel GitHub entier. Depuis que l'application a trois ans, Litvak a enquêté pour savoir si le problème était toujours présent.
La faille de sécurité est-elle toujours active?
"J'ai trouvé que le jeton est toujours actif et possède un repo OAuth Scope", a déclaré Litvak. Une «étendue OAuth» est utilisée pour limiter l'accès d'une application au compte d'un utilisateur.
Un "référentiel", selon GitHub, garantit un accès complet aux référentiels privés et publics et comprend un accès en lecture / écriture au code, des états de validation et des projets d'organisation, entre autres fonctions.
"Toute personne assez curieuse pour décoder l'ancienne application Blockfolio aurait pu la reproduire et télécharger tout le code Blockfolio et même mettre son code malveillant dans sa propre base de code."
Cette vulnérabilité était publique depuis deux ans et le trou était toujours ouvert. Litvak a averti Blockfolio du problème via les médias sociaux, car Blockfolio n'a pas de programme de primes de bogues pour éliminer les vulnérabilités.
Le co-fondateur et PDG de Blockfolio, Edward Moncada, a confirmé l'histoire aux médias et a annoncé que Blockfolio avait révoqué l'accès à la clé. Les jours suivants, Moncada a déclaré que Blockfolio avait effectué un audit de ses systèmes et constaté qu'aucune modification n'avait été apportée.
Le jeton aurait permis à quelqu'un de modifier le code source, mais Moncada a déclaré qu'il n'y aurait jamais de risque de divulguer du code malveillant aux utilisateurs.
