Un hackeur éthique a récemment signalé une faille de sécurité sur la célèbre application Blockfolio. Présente depuis 2 ans, la vulnérabilité est désormais corrigée.
Selon Paul Litvak, chercheur en sécurité pour la société new-yorkaise Intezer, la faille aurait permis de voler le code source de l’application, voire d’injecter son propre code dans leurs référentiels.
Lancée en 2014, Blockfolio est une application de suivi des prix des crypto-monnaies très populaire avec plus d’un million de téléchargements sur Android.
Bien que l’application ne conserve pas directement les crypto-monnaies des utilisateurs, Litvak explique que les hackeurs exploitent maintenant toutes les possibilités pour en dérober, y compris via des applications tiers comme celle-ci.
Après avoir passé un certain temps à examiner leur application en vain, j’ai jeté un œil aux anciennes versions de l’application pour voir si je pouvais trouver des points de terminaison Web secrets ou cachés depuis longtemps. J’ai alors trouvé cette version de 2017 qui accède à l’API de Github,” a-t-il écrit.
Le code se connecte au référentiel Github de Blockfolio grâce à un ensemble de constantes incluant un nom de fichier et, surtout, la clé utilisée par Github pour autoriser l’accès aux référentiels.
Il ajoute un jeton à l’en-tête d’autorisation: l’application interroge les référentiels Github privés appartenant à Blockfolio. Il était utilisé pour télécharger sa FAQ directement depuis Github et l’afficher à l’utilisateur. J’ai arrêté de creuser davantage car je n’ai pas la permission d’utiliser le jeton,” a-t-il ajouté.
Suite à cette découverte, le chapeau blanc a contacté Blockfolio via les réseaux sociaux. L’entreprise a rapidement bloqué le jeton et répondu qu’aucun accès à ses données utilisateur ou à son infrastructure n’avait eu lieu.
Le cofondateur et PDG de Blockfolio, Edward Moncada, a confirmé sur Coindesk qu’un jeton d’accès GitHub avait été laissé par erreur dans une version précédente de la base de code de l’application Blockfolio.
Litvak suggère aux détenteurs de pièces numériques d’utiliser le minimum de services tiers et en outre de se tourner vers des services web plutôt que sur mobile.
Questions & Réponses (0)