一个“白帽”或讲究职业道德的黑客在流行的移动加密货币投资组合跟踪和管理应用程序Blockfolio中发现了一个漏洞。该安全漏洞出现在该应用程序的较早版本中,该漏洞可能使不良行为者窃取已关闭的源代码,并可能将自己的代码注入Blockfolio的GitHub存储库,然后从那里注入到应用程序本身。
网络安全公司Intezer的一名安全研究员Paul Litvak上周做出了这一发现,当时他决定对所使用的与加密货币相关的工具的安全性进行审查。自2017年以来,Litvak一直从事加密货币的开发工作,当时他曾用来构建交易机器人,而Blockfolio是他用来管理投资组合的Android应用程序。
Litvak说:“经过一段时间的审查,他们的[新]应用程序无济于事,我看了看该应用程序的旧版本,看看是否可以找到任何早已被遗忘的秘密或隐藏的Web端点。” “很快,我从2017年开始使用GitHub的API 找到此版本。”
该代码使用一组常量(包括文件名)连接到公司的Github存储库,最重要的是,Github用于允许访问存储库的密钥。它在下面显示为变量“ d”。
该应用程序查询了Blockfolio的私有GitHub存储库,并且该功能非常简单,直接从GitHub下载了Blockfolio的常见问题,从而使公司免于必须在其应用程序内部进行更新的工作。
但是关键是危险的,因为它可以访问和控制整个GitHub存储库。由于该应用程序已有3年历史,因此Litvak对其是否仍然构成威胁感到好奇。
Litvak说:“这很严重,但我认为可能只是从使用时起就不再使用的一些旧令牌。”
他发现钥匙仍然处于活动状态。
他说:“我发现,令牌仍然处于活动状态,并且具有“回购” OAuth范围。“ OAuth范围”用于限制应用程序对用户帐户的访问。
根据GitHub的说法,“存储库”授予对私有和公共存储库的完全访问权限,并且包括对代码,提交状态和组织项目的读/写访问权限,以及其他功能。
Litvak说:“它使用私有凭证来访问其私有代码存储库。” “任何对旧的Blockfolio应用程序进行逆向工程的好奇者都可以复制并下载所有Blockfolio的代码,甚至将自己的恶意代码推送到他们的代码库中。您不应在任何人都可以下载的应用程序中拥有私人证书。”
该漏洞已经公开两年了,漏洞仍然存在。Litvak鉴于Blockfolio没有可消除漏洞的漏洞赏金计划,因此通过社交媒体向Blockfolio警告该问题。
Blockfolio联合创始人兼首席执行官Edward Moncada在给CoinDesk的电子邮件中确认,在以前版本的Blockfolio应用程序代码库中错误地留下了GitHub访问令牌,并且当收到该漏洞警报时,Blockfolio撤回了对该密钥的访问。
在接下来的几天中,Moncada表示Blockfolio对系统进行了审核,并确认未进行任何更改。鉴于令牌提供了对与存储用户数据的数据库不同的代码的访问权限,因此用户数据不会受到威胁。
该令牌将允许某人更改源代码,但是通过其内部流程将更改发布到系统中,Moncada表示,永远不会存在向用户发布恶意代码的风险。
“我想说的是最坏的情况,攻击者将更新应用程序的代码并收集有关用户的数据。他们还具有在应用程序中放置交换API密钥的功能,因此也可能被盗。但是,[Blockfolio]声称,由于进行了“安全审查”,因此这是不可能的。我要说的是,最好没人去测试那些安全性审查。”
翻译整理:唐华斑竹
本文译自:CoinDesk
作者简介:本杰明(Benjamin)是CoinDesk的隐私记者,他专注于数据和财务隐私,信息安全和数字身份。这包括从密码学到公共政策辩论和数据泄露的所有内容。他之前曾在《 BREAKER》杂志和《逆》中工作。他的作品曾在《华尔街日报》,《每日野兽》,《滚石》和《新共和国》等杂志上发表。他没有任何加密货币。
作者郑重申明:截至发文时,作者与文中提及项目皆不存在任何利益关系。
领取专属 10元无门槛券
私享最新 技术干货