«Белая шляпа» или этичный хакер обнаружил зияющую дыру в Blockfolio, популярном мобильном приложении для отслеживания и управления портфелем криптовалют. Уязвимость в системе безопасности, которая появлялась в более старых версиях приложения, могла позволить злоумышленнику украсть закрытый исходный код и, возможно, внедрить свой собственный код в репозиторий Blockfolio GitHub, а оттуда — в само приложение.
Исследователь по безопасности в фирме по кибербезопасности Intezer Пол Литвак сделал открытие на прошлой неделе, когда решил проверить безопасность инструментов, связанных с криптовалютой, которые он использовал. Литвак участвует в криптовалютах с 2017 года, когда он создавал ботов для торговли, а Blockfolio — это приложение для Android, которое он использовал для управления своим портфелем.
«Спустя некоторое время, безуспешно просматривая их новое приложение, я взглянул на старые версии приложения, чтобы узнать, смогу ли я найти давно забытые секретные или скрытые конечные точки в Интернете», — сказал Литвак. «Вскоре я обнаружил, что эта версия с 2017 года получает доступ к API GitHub».
