Blockfolio repara discretamente un fallo de seguridad de hace años que expuso el código fuente

Un hacker de "sombrero blanco" o ético encontró un agujero enorme enBlockfolio, la popular aplicación móvil de seguimiento y gestión de carteras de Criptomonedas . La vulnerabilidad de seguridad, presente en versiones anteriores de la aplicación, podría haber permitido a un atacante robar código fuente cerrado y posiblemente inyectar su propio código en el repositorio de GitHub de Blockfolio y, desde allí, en la propia aplicación.

Un investigador de seguridad de la empresa de ciberseguridad Intezer,Pablo Litvak, hizo el Explora la semana pasada cuando decidió revisar la seguridad de las herramientas relacionadas con criptomonedas que utilizaba. Litvak ha estado involucrado en el mundo de las criptomonedas desde 2017, cuando solía desarrollar bots para operar, y Blockfolio es una aplicación de Android que utilizaba para gestionar su cartera.

“Después de revisar su [nueva] aplicación durante un tiempo sin éxito, revisé versiones anteriores para ver si encontraba algún Secret olvidado o puntos finales web ocultos”, dijo Litvak. “Pronto encontré esto versión de 2017acceder a la API de GitHub”.

Este código se conecta al repositorio de Github de la empresa mediante un conjunto de constantes que incluye un nombre de archivo y, sobre todo, la clave que Github utiliza para acceder a los repositorios. Aparece a continuación como la variable "d".

La aplicación consultó los repositorios privados de GitHub de Blockfolio, y esa función simplemente descargó las preguntas frecuentes de Blockfolio directamente desde GitHub, ahorrándole a la empresa el esfuerzo de tener que actualizarlas dentro de sus aplicaciones.

Pero la clave es peligrosa, ya que podría acceder y controlar todo un repositorio de GitHub. Dado que la aplicación tenía tres años, Litvak tenía curiosidad por saber si seguía siendo una amenaza.

“Esto es grave, pero pensé que tal vez se tratase de algún token antiguo que ya no se usa, de cuando lo lanzaron”, dijo Litvak.

La clave, descubrió, todavía estaba activa.

"Y descubrí que, no, el token sigue activo y tiene un alcance OAuth de "repositorio"", dijo. Un "alcance OAuth" se utiliza para limitar el acceso de una aplicación a la cuenta de un usuario.

Un “repositorio”, según GitHub, otorga acceso completo a repositorios privados y públicos, e incluye acceso de lectura y escritura al código, estados de confirmación y proyectos de la organización, entre otras funciones.

Sigue leyendo: La Opinión pública cambia respecto a las grandes tecnológicas y la Privacidad durante la pandemia

“Usaba credenciales privadas para acceder a su repositorio de código privado”, dijo Litvak. “Cualquiera con la curiosidad suficiente para aplicar ingeniería inversa a la antigua aplicación de Blockfolio podría haberla reproducido, descargado todo el código de Blockfolio e incluso haber introducido su propio código malicioso en su base de código. No se supone que se deban tener credenciales privadas en aplicaciones que cualquiera puede descargar”.

La vulnerabilidad llevaba dos años desapareciendo y el agujero seguía abierto. Litvak alertó a Blockfolio sobre el problema a través de redes sociales, dado que Blockfolio no cuenta con un programa de recompensas por errores para erradicar las vulnerabilidades.

El cofundador y director ejecutivo de Blockfolio, Edward Moncada, confirmó en un correo electrónico a CoinDesk que un token de acceso de GitHub se dejó por error en una versión anterior del código base de la aplicación Blockfolio y, cuando se le alertó sobre la vulnerabilidad, Blockfolio revocó el acceso a la clave.

Durante los días siguientes, Moncada afirmó que Blockfolio realizó una auditoría de sus sistemas y confirmó que no se habían realizado cambios. Dado que el token proporcionaba acceso a código independiente de la base de datos donde se almacenan los datos de los usuarios, estos no corrían riesgo.

El token permitiría a alguien cambiar el código fuente, pero a través de sus procesos internos para liberar cambios al sistema, Moncada dijo que nunca hubo riesgo de que se liberara código malicioso a los usuarios.

“Diría que, en el peor de los casos, un atacante actualizaría el código de la aplicación y recopilaría datos sobre los usuarios. También tienen la función de introducir claves API de intercambio en la aplicación, lo que también podría ser robado”, dijo Litvak. “Pero ellos [Blockfolio] afirman que eso es imposible debido a sus 'revisiones de seguridad'. Diría que es mejor que nadie las pruebe”.