Blockfolio isimli mobil kripto para portföy takip uygulaması kullanıcılarının bilgilerini takip edilebilir halde işliyor
100,000‘den fazla indirme sayısına sahip popüler kripto para takip uygulaması Blockfolio‘nun kullanıcılarının sahip oldukları bakiyeleri yeterince gizleyemediği ortaya çıktı.
Uygulamanın Android ve iOS platformlarında, kullanıcıların aşağıdaki şekilde tüm durumlarının anlık olarak takip edilebildiğini fark eden yazılımcılar, uygulama kullanıcılarının acilen Blockfolio’yu kullanmayı bırakmasını tavsiye ediyorlar.
Kanıt olarak sunulan aşağıdaki linkten, sistemin açığının ne denli ortada olduğu gözler önüne serilmiş durumda:
http://api-v0.blockfolio.com/rest/get_positions_v2/CIHAZ-ISMI/USD-BTC?fiat_currency=USD
CIHAZ-ISMI alanına cihazınızın uygulama tarafından özel verilmiş olan numarayı yazdığınızda link üzerinden ilgili kullanıcının sahip olduğu Bitcoin miktarını görebiliyorsunuz.
Bu açık özellikle cihaz adresini artniyetli farklı bir uygulama tarafından bilinçsiz şekilde kötü niyetli kişilerle paylaşmış kullanıcıların, sahip oldukları paralar dolayısıyla mal & can güvenliğini risk altında bırakıyor.
Yan tarafta örnek bir çıktı yer almakta ve paylaşmak istemeyeceğiniz kadar detayın mevcut olduğunu görebilirsiniz
Şunu belirtmekte fayda var, bu şekilde bir açık bilinçli olarak değil de sistemin çalışması için gerektiğinden bırakılmış olabilir ancak tabii ki tüm kullanıcıların bu şekilde basit bir link kombinasyonu ile erişmesi pek akıl kàrı değil. Uygulama tarafında yapılan bu veri depolama, cihaz üzerinde tutularak veyahut 3. kişilerin erişiminin olmayacağı bir veri tabanı sistemiyle saklanmasını sağlayarak daha güvenli bir halde kullanıcı verileri saklanabilirdi.
Umarız ki yakın zamanda uygulama bu açığı kapatır ve zaten alternatifini bulamadığımız Blockfolio bize tekrardan içimize sinecek şekilde kullanma şansı tanır…
GÜNCELLEME
Blockfolio 1 Haziran’da yaptığı duyuruyla olayları çözüme kavuşturdu. Detaylar için: Blockfolio Güvenlik Açığı Hakkında Açıklama Yaptı