Bild: Warith Al Maawali
Den Coinomi wallet-appen skickar lösenord till Googles stavningskontroll service i klartext, att utsätta användarnas konton och deras fonder för att man-i-mitten (MitM) attacker under vilken angripare kan logga lösenord och senare tomma konton.
Problemet uppdagades i går efter att en arg skriv upp av Oman-baserad programmerare Warith Al Maawali som upptäckte det medan undersöka den mystiska stölden av 90 procent av sina medel.
Al Maawali säger att under Coinomi plånbok setup, när användare väljer du ett lösenord (lösenord), Coinomi app tar tag i användarens input inne lösenfrasen textruta och tyst skickar det till Googles Stavningskontroll API service.
“För att förstå vad som händer, jag kommer att förklara att det tekniskt sett,” Al Maawali sagt. “Coinomi centrala funktioner är byggt med hjälp av programmeringsspråket Java. Användargränssnittet har utformats med hjälp av HTML/JavaScript uppritad med integrerad Krom (Google ‘ s open-source-projekt) baserad webbläsare.”
Al Maawali säger att precis som alla andra Krom-app, det kommer integreras med olika Google-centrerad funktioner, till exempel den automatiska stavningskontrollen för alla användare mata in text lådor.
Problemet tycks vara att Coinomi laget inte bry sig om att stänga av denna funktion i sin plånbok UI-kod, vilket leder till en situation där alla användares lösenord läcker ut via HTTP under installationsprocessen.
Vem som helst i en position att avlyssna internet-trafik från plånboken app skulle kunna se Coinomi plånbok app lösenfras i klartext.
Detta lösenfras låter angripare att få åtkomst till en användares plånbok (via återställa plånboken funktion) och alla cryptocurrency konton i samband med att plånboken –och implicit alla användares medel.
Medan Al Maawali inte har ett definitivt bevis på att detta är hur hackare stal hans pengar, han påstår att det bara Coinomi sparade medel var stulen, så han ser inget annat sätt hackare kan ha fått tillgång till dessa konton förutom att du får tillgång till sin Coinomi lösenfras.
“Alla som är inblandade i teknik och crypto-valutan vet att […] 12 random engelska ord separerade med blanksteg kommer förmodligen att vara en lösenfras för att en crypto-valuta plånbok,” Al Maawali sagt.
Forskaren skapat en särskild webbplats där han beskrev problemet och den pärsen gick han genom att försöka få Coinomi att erkänna sårbarhet.
Han skrev också en proof-of-concept video som senare verifieras oberoende och som återges av Lukas Childs, en säkerhet forskare och andra cryptocurrency aficionado.
Vissa människor verkar inte kunna se videon eftersom att citera tweet visas istället, här är videon: pic.twitter.com/x592HW9sEi
Lukas Childs (@lukechilds) februari 27, 2019
Childs är inte främmande för att Coinomi frågor. Tillbaka i 2016, upptäckte han att den Coinomi Android-app var att kommunicera med sin backend-servrar via vanlig HTTP. Precis som i Al Maawali är fallet, Coinomi vägrade att erkänna problemet och senare tas bort Childs’ felrapport efter en uppvärmd privat exchange-detaljerad i djupet på denna sida.
Coinomi, som erbjuder en multi-cryptocurrency plånbok app för Android, iOS, Linux, Mac och Windows, kan inte svara på en begäran om kommentar.
Al Maawali hävdar att han förlorat mellan $60 000 och $70,000 värt i olika cryptocurrencies. Det finns också andra rapporter om Coinomi är Reddit-tråd där användare klagar på att vakna upp en dag för att hitta alla sina Coinomi-managed konton tömmas över en natt [1, 2].
Relaterade it-säkerhet nyheter täckning:
Hackare kan stjäla bare-metal-cloud-servrar genom att korrumpera deras BMC firmwareA tredjedel av alla Chrome-tillägg begära att få tillgång till användarnas uppgifter om någon siteHacker stjäl $7,7 miljoner i EOS cryptocurrency efter att svartlista snafu
Nya webbläsare attack kan hackare köra dålig kod även när användare lämnar en web pageResearchers bryta digitala signaturer för de flesta stationära PDF viewersIt hackare tog bara tre dagar för att börja utnyttja senaste Drupal-bugg
Bitcoin rasar, tillsammans med intresse i blockchain, cryptocurrency jobb TechRepublicWill Samsung Galaxy S10 komma cryptocurrency-redo? CNET
Relaterade Ämnen:
Blockchain
Säkerhet-TV
Hantering Av Data
CXO
Datacenter