У додатку Blockfolio виявлена уразливість, яка дозволяє отримати доступ до закритого вихідного коду і впровадити власний код в репозиторій Blockfolio на GitHub.
Фахівець з кібербезпеки з компанії Intezer Підлогу Литвак (Paul Litvak) виявив уразливість в кінці квітня, коли вирішив перевірити безпеку використовуваних їм криптовалютных інструментів.
«Через деякий час після вивчення нової версії додатка, я звернув увагу на старі версії. Незабаром я виявив, що версія від 2017 року має доступ до API GitHub», – розповів Литвак.
Код підключається до дерева Blockfolio на Github з допомогою набору констант, що включають в себе ім’я файлу і ключ, який Github використовує для надання доступу до репозиториям. Нижче він відображається як змінна «d».
Додаток відправляла запити в закриті репозиторії, і ця функція завантажуватиме часто задавані питання Blockfolio безпосередньо з GitHub, позбавляючи компанію від необхідності оновлювати інформацію усередині додатку. Однак ця функція небезпечна тим, що дозволяє отримати доступ і контроль над усім репозиторієм Blockfolio на GitHub.
«Я подумав, що, може бути, це просто якийсь старий код, з тих часів, коли програма тільки було запущено», – сказав Литвак.
Проте виявлений їм ключ був досі «активний і мав OAuth Scope «repo», який використовується для обмеження доступу додатки до облікового запису користувача.
Repo, згідно GitHub, надає повний доступ до закритих і загальнодоступним репозиториям і включає в себе доступ на читання і запис коду, а також фіксації стану репозиторію і проектами організації.
«Ключ використав права для доступу до закритого сховища коду. Будь проявив цікавість розробник міг би перепроектувати старе додаток Blockfolio, відтворити його, завантажити весь код Blockfolio і навіть вставити свій шкідливий код в базу», – сказав Литвак.
Уразливість існувала протягом двох років. Литвак попередив Blockfolio про цю проблему через соціальні мережі, так як у проекту немає програми винагород для розробників, які виявляють подібні помилки.
Співзасновник і генеральний директор Blockfolio Едвард Монкада (Edward Moncada) підтвердив, що ключ доступу GitHub був помилково залишений попередній версії кодової бази програми Blockfolio. Коли команда отримала попередження про уразливості, Blockfolio анулював доступ до ключа.
Монкада сказав, що протягом наступних кількох днів Blockfolio провела аудит своїх систем, і підтвердила, що ніхто не скористався вразливістю. Оскільки ключ надавав доступ до коду, який був відділений від бази даних, вони не були схильні до ризику.
Ключ міг дозволити внести зміни у вихідний код, але завдяки процесам підтвердження внесення змін в систему, ніколи не існувало ризику, що шкідливий код буде випущений у версії для користувачів.
Багато криптовалютные проекти мають уразливості, які періодично виявляють фахівці з кібербезпеки. Так, нещодавно дослідники з університетів Норвегії та Люксембургу виявили можливість атаки на Lightning Network, при якій можуть бути розкриті баланси вузлів.
Крім того, нещодавно некастодиальная криптовалютная біржа Bisq зупинила торги через виявлення критичної уразливості в системі безпеки.
Thanks!
Our editors are notified.