Actualités

La crypto-application Blockfolio colmate une faille de sécurité vieille de 2 ans

Un hackeur éthique a récemment signalé une faille de sécurité sur la célèbre application Blockfolio. Présente depuis 2 ans, la vulnérabilité est désormais corrigée.

 

Selon Paul Litvak, chercheur en sécurité pour la société new-yorkaise Intezer, la faille aurait permis de voler le code source de l’application, voire d’injecter son propre code dans leurs référentiels.

Lancée en 2014, Blockfolio est une application de suivi des prix des crypto-monnaies très populaire avec plus d’un million de téléchargements sur Android.

Bien que l’application ne conserve pas directement les crypto-monnaies des utilisateurs, Litvak explique que les hackeurs exploitent maintenant toutes les possibilités pour en dérober, y compris via des applications tiers comme celle-ci.

Après avoir passé un certain temps à examiner leur application en vain, j’ai jeté un œil aux anciennes versions de l’application pour voir si je pouvais trouver des points de terminaison Web secrets ou cachés depuis longtemps. J’ai alors trouvé cette version de 2017 qui accède à l’API de Github,” a-t-il écrit.

Le code se connecte au référentiel Github de Blockfolio grâce à un ensemble de constantes incluant un nom de fichier et, surtout, la clé utilisée par Github pour autoriser l’accès aux référentiels.

Il ajoute un jeton à l’en-tête d’autorisation: l’application interroge les référentiels Github privés appartenant à Blockfolio. Il était utilisé pour télécharger sa FAQ directement depuis Github et l’afficher à l’utilisateur. J’ai arrêté de creuser davantage car je n’ai pas la permission d’utiliser le jeton,” a-t-il ajouté.

Suite à cette découverte, le chapeau blanc a contacté Blockfolio via les réseaux sociaux. L’entreprise a rapidement bloqué le jeton et répondu qu’aucun accès à ses données utilisateur ou à son infrastructure n’avait eu lieu.

Le cofondateur et PDG de Blockfolio, Edward Moncada, a confirmé sur Coindesk qu’un jeton d’accès GitHub avait été laissé par erreur dans une version précédente de la base de code de l’application Blockfolio.

Litvak suggère aux détenteurs de pièces numériques d’utiliser le minimum de services tiers et en outre de se tourner vers des services web plutôt que sur mobile.

Meilleur broker pour acheter et trader crypto-monnaies

  • Broker
  • Caractéristiques
  • Note
  • Visiter Broker
  • Achetez 16+ Cryptos
  • Accepte CB, Paypal, Neteller, Skrill
  • Réglementé par plusieurs autorités financières
5.0/5

Libertex Reviews

    Libertex Reviews

    https://cryptonaute.fr/visit/libertex-news-promo-boxCreate your account
    Hide Libertex Reviews
    Stanislas Pogorzelski
    Entrepreneur dans le digital, Stanislas s'intéresse aux nouvelles technologies et particulièrement à la blockchain et aux crypto-monnaies, qui pour lui, représentent la suite logique d'internet, notamment grâce à leur fonction de transfert de valeur en ligne. Il relaye quotidiennement l'actualité du secteur sur Cryptonaute.

    Les dernières news :

    Commentaires

    Laissez une réponse

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *