Accueil La crypto-application Blockfolio colmate une faille de sécurité vieille de 2 ans
Toute l'actualité

La crypto-application Blockfolio colmate une faille de sécurité vieille de 2 ans

Cryptonaute
Dernière mise à jour :
Rejoignez notre groupe Telegram pour rester au courant des dernières nouvelles crypto en direct.

Un hackeur éthique a récemment signalé une faille de sécurité sur la célèbre application Blockfolio. Présente depuis 2 ans, la vulnérabilité est désormais corrigée.

 

Selon Paul Litvak, chercheur en sécurité pour la société new-yorkaise Intezer, la faille aurait permis de voler le code source de l’application, voire d’injecter son propre code dans leurs référentiels.

Lancée en 2014, Blockfolio est une application de suivi des prix des crypto-monnaies très populaire avec plus d’un million de téléchargements sur Android.

Bien que l’application ne conserve pas directement les crypto-monnaies des utilisateurs, Litvak explique que les hackeurs exploitent maintenant toutes les possibilités pour en dérober, y compris via des applications tiers comme celle-ci.

Après avoir passé un certain temps à examiner leur application en vain, j’ai jeté un œil aux anciennes versions de l’application pour voir si je pouvais trouver des points de terminaison Web secrets ou cachés depuis longtemps. J’ai alors trouvé cette version de 2017 qui accède à l’API de Github,” a-t-il écrit.

Le code se connecte au référentiel Github de Blockfolio grâce à un ensemble de constantes incluant un nom de fichier et, surtout, la clé utilisée par Github pour autoriser l’accès aux référentiels.

Il ajoute un jeton à l’en-tête d’autorisation: l’application interroge les référentiels Github privés appartenant à Blockfolio. Il était utilisé pour télécharger sa FAQ directement depuis Github et l’afficher à l’utilisateur. J’ai arrêté de creuser davantage car je n’ai pas la permission d’utiliser le jeton,” a-t-il ajouté.

Suite à cette découverte, le chapeau blanc a contacté Blockfolio via les réseaux sociaux. L’entreprise a rapidement bloqué le jeton et répondu qu’aucun accès à ses données utilisateur ou à son infrastructure n’avait eu lieu.

Le cofondateur et PDG de Blockfolio, Edward Moncada, a confirmé sur Coindesk qu’un jeton d’accès GitHub avait été laissé par erreur dans une version précédente de la base de code de l’application Blockfolio.

Litvak suggère aux détenteurs de pièces numériques d’utiliser le minimum de services tiers et en outre de se tourner vers des services web plutôt que sur mobile.

Questions & Réponses (0)

Vous avez une question? Notre panel d'experts est là pour vous répondre. Soumettre ma Question

Leave a Comment

Write a Review

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Rejoignez notre groupe Telegram pour rester au courant des dernières nouvelles crypto en direct.
Ajoutez Cryptonaute à vos flux Google Actualités

Cryptonaute

Cryptonaute

Cryptonaute est un média en ligne français créé en 2017. Notre but est de démocratiser les cryptomonnaies et de fournir des informations qualitatives sur ce secteur parfois complexe. Composée de rédacteurs professionnels, notre équipe est passionnée par les nouvelles technologies et les changements apportés grâce aux cryptomonnaies.
Recevez toute l'actualité crypto en direct sur Telegram
Rejoignez notre groupe Telegram

Cryptonaute.fr fournit des informations de qualité supérieure à travers des guides pédagogiques financiers et des tutoriels vidéo sur la façon d’acheter des actions et d’investir en bourse. Nous comparons les meilleurs fournisseurs ainsi que des informations approfondies sur leurs offres de produits. Nous ne conseillons ni ne recommandons aucun fournisseur, mais nous sommes là pour permettre à notre lecteur de prendre des décisions éclairées sous leur propre responsabilité. Les contrats sur la différence (« CFD ») sont des produits à effet de levier et comportent un risque important de perte pour votre capital. Jusqu’à 67% des comptes d’investisseurs particuliers perdent de l’argent lorsqu’ils négocient avec les courtiers présents sur ce site. Veuillez vous assurer de bien comprendre les risques et demander des conseils à des professionnels indépendants. En continuant à utiliser ce site Web, vous acceptez notre politique de confidentialité.

© cryptonaute.fr

Tous droits réservés – 2017 – 2024