Blockfolio悄悄修补了暴露了源代码的数年之久的安全漏洞

一个“白帽”或道德黑客在流行的移动加密货币投资组合跟踪和管理应用程序Blockfolio中发现了一个漏洞。该安全漏洞出现在该应用程序的较早版本中，可能使不良行为者窃取已关闭的源代码，并可能将自己的代码注入Blockfolio的GitHub存储库中，然后从那里注入到应用程序本身中。

网络安全公司Intezer的一名安全研究员Paul Litvak上周做出了这一发现，当时他决定对所使用的与加密货币相关的工具的安全性进行审查。自2017年以来，Litvak一直从事加密货币的开发工作，当时他曾用来构建交易机器人，而Blockfolio是他用来管理投资组合的Android应用程序。

“一段时间后， [new] 该应用程序无济于事，我查看了该应用程序的旧版本，看看是否可以找到任何早已被遗忘的秘密或隐藏的Web端点。” Litvak说。 “很快我从2017年开始使用GitHub的API找到了该版本。”

资料来源：Paul Litvak

此代码使用一组常量（包括文件名）连接到公司的Github存储库，最重要的是，Github用于允许访问存储库的密钥。它在下面显示为变量“ d”。

资料来源：Paul Litvak

该应用程序查询了Blockfolio的私有GitHub存储库，并且该功能非常简单，直接从GitHub下载了Blockfolio的常见问题，免除了该公司在其应用程序内部进行更新的工作。

但是关键是危险的，因为它可以访问和控制整个GitHub存储库。由于该应用程序已有3年历史，因此Litvak对其是否仍然构成威胁感到好奇。

Litvak说：“这很严重，但我认为可能只是从使用时起就不再使用的一些旧令牌。”

他发现钥匙仍然处于活动状态。

资料来源：Paul Litvak

他说：“我发现，令牌仍然处于活动状态，并且具有“回购” OAuth范围。” “ OAuth范围”用于限制应用程序对用户帐户的访问。

根据GitHub的说法，“存储库”授予对私有和公共存储库的完全访问权限，并且包括对代码，提交状态和组织项目的读/写访问权限，以及其他功能。

阅读更多：大流行期间公众对大型技术和隐私的看法转变

Litvak说：“它使用私有凭证来访问其私有代码存储库。” “任何对旧的Blockfolio应用程序进行逆向工程的好奇者都可以复制并下载所有Blockfolio的代码，甚至将自己的恶意代码推送到他们的代码库中。您不应在任何人都可以下载的应用程序中拥有私人证书。”

该漏洞已经公开两年了，漏洞仍然存在。 Litvak鉴于Blockfolio没有可消除漏洞的漏洞赏金计划，因此通过社交媒体向Blockfolio警告该问题。

Blockfolio确认在先前版本的Blockfolio应用程序代码库中错误地留下了GitHub访问令牌，并且在收到该漏洞警报时，Blockfolio撤回了对该密钥的访问。

接下来的几天，Blockfolio表示已对其系统进行了审核，并确认未进行任何更改。鉴于令牌提供了对与存储用户数据的数据库不同的代码的访问权限，因此用户数据不会受到威胁。

该令牌将允许某人更改源代码，但是可以通过其内部过程将更改发布到系统中。该公司表示，从来没有风险将恶意代码发布给用户。

“我想说的是最坏的情况，攻击者将更新应用程序的代码并收集有关用户的数据。它们还具有将交换API密钥放入应用程序中的功能，因此也可能被盗。” [Blockfolio] 声称由于他们的“安全审查”，这是不可能的。我想说的是，最好没人去测试那些安全性审查。”

—-

原文链接：https://www.coindesk.com/blockfolio-quietly-patches-years-old-security-hole-that-exposed-source-code

原文作者：Benjamin Powers

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。