Un “white hat”, o hacker etico, ha trovato un buco nel Blockfolio, la popolare app di gestione e monitoraggio del portafoglio di criptovaluta mobile. La falla nella sicurezza che appariva nelle versioni precedenti dell’applicazione, avrebbe potuto consentire ad un criminale di rubare il codice sorgente chiuso e possibilmente iniettare il proprio codice nel repository GitHub di Blockfolio e, da lì, nell’app stessa.
Una scoperta avvenuta per caso
Un ricercatore della società di sicurezza informatica Intezer, Paul Litvak, ha fatto la scoperta la scorsa settimana quando ha deciso di rivedere la sicurezza degli strumenti relativi alla criptovaluta che stava utilizzando.
Litvak è coinvolto nel settore delle criptovalute dal 2017 quando si è impegnato per costruire un robot per il trading, e Blockfolio è un’app Android che ha usato per gestire il suo portafoglio sulla falsariga di Bitcoin System.
“Dopo aver rivisto inutilmente la loro [nuova] app, ho dato un’occhiata alle versioni precedenti dell’app per vedere se riuscivo a trovare endpoint web segreti o nascosti da lungo tempo dimenticati”, ha dichiarato Litvak.
“Subito ho trovato questa versione dal 2017 accedendo all’API di GitHub.”Questo codice si collega al repository Github della società utilizzando una serie di costanti che include un nome file e, soprattutto, la chiave utilizzata da Github per consentire l’accesso ai repository.
L’app ha richiesto i repository GitHub privati di Blockfolio e quella funzione ha semplicemente scaricato le domande frequenti di Blockfolio direttamente da GitHub, evitando all’azienda lo sforzo di doverlo aggiornare all’interno delle sue app.
Ma lasciare la chiave esposta è pericoloso in quanto chiunque potrebbe accedere e controllare un intero repository GitHub. Poiché l’app ha tre anni, Litvak ha indagato per sapere se il problema fosse ancora presente.
La falla nella sicurezza è ancora attiva?
“Ho scoperto che il token è ancora attivo e ha un “repo” OAuth Scope”, ha detto Litvak. Un “OAuth Scope” viene utilizzato per limitare l’accesso di un’applicazione all’account di un utente.
Un “repository”, secondo GitHub, garantisce pieno accesso ai repository privati e pubblici e include l’accesso in lettura/scrittura al codice, gli stati di commit e i progetti di organizzazione, tra le altre funzioni.
“Chiunque fosse abbastanza curioso di decodificare la vecchia app Blockfolio avrebbe potuto riprodurla e scaricare tutto il codice Blockfolio e persino inserire il proprio codice maligno nella propria base di codice.”
Questa vulnerabilità era pubblica da due anni e il buco era ancora aperto. Litvak ha avvisato Blockfolio del problema tramite i social media, dato che Blockfolio non ha un programma di bug bounty per sradicare le vulnerabilità.
Il co-fondatore e CEO di Blockfolio Edward Moncada ha confermato ai media la vicenda ed ha comunicato che Blockfolio ha revocato l’accesso alla chiave. Nei giorni successivi Moncada ha dichiarato che Blockfolio ha effettuato un audit dei suoi sistemi ed ha trovato che non sono state apportate modifiche.
Il token avrebbe consentito a qualcuno di modificare il codice sorgente, ma Moncada ha affermato che non vi sarebbe mai stato un rischio di rilasciare agli utenti un codice maligno.