Immagine: Warith Al Maawali
Il Coinomi wallet app invia la password dell’utente a Google il controllo ortografico di servizio con testo in chiaro, esponendo gli account degli utenti e dei loro fondi per man-in-the-middle (MitM) attacchi durante il quale gli hacker possono accedere password e poi svuotare i conti.
Il problema è venuto alla luce ieri, dopo un arrabbiato write-up da Oman a base di programmatore Warith Al Maawali che lo ha scoperto mentre indagando sul misterioso furto di 90 per cento dei suoi fondi.
Al Maawali dice che durante la Coinomi portafoglio di installazione, quando gli utenti di specificare una password (password), il Coinomi app afferra l’input dell’utente all’interno della passphrase casella di testo e invia automaticamente a Google di controllare l’ortografia di servizio API.
“Per capire cosa sta succedendo, vi spiego tecnicamente,” Al Maawali detto. “Coinomi funzionalità di base è costruito utilizzando il linguaggio di programmazione Java. L’interfaccia utente è stata progettata utilizzando HTML/JavaScript e reso uso integrato di Cromo (Google progetto open-source) basato su browser.”
Al Maawali dice che, proprio come qualsiasi altra Cromo-based app, viene integrato con i vari Google-centrato funzioni, come il controllo ortografico automatico funzione per tutti gli utenti caselle di testo di input.
Il problema sembra essere che il Coinomi squadra non si preoccupò di disattivare questa funzione nel portafoglio del codice dell’interfaccia utente, portando a una situazione in cui tutti loro le password degli utenti sono perdite di via HTTP, durante il processo di installazione.
Chiunque in grado di intercettare il traffico web da pagamenti app sarebbe in grado di vedere il Coinomi wallet app password in testo non crittografato.
Questa frase di accesso consente agli aggressori di accedere a un utente di portafoglio (tramite il ripristino portafoglio funzione) e tutti i cryptocurrency account associati che portafoglio-e implicitamente tutti gli utenti di fondi.
Mentre Al Maawali non ha la prova definitiva che in questo modo gli hacker hanno rubato la sua fondi, egli sostiene che solo Coinomi-archiviati i fondi sono stati rubati, in modo che non vede altro modo, gli hacker potrebbero avere ottenuto l’accesso a tali conti, oltre a ottenere l’accesso alla sua Coinomi passphrase.
“Chiunque sia coinvolto in tecnologia e crypto-valuta sa che […] 12 casuale inglese parole separate da spazi sarà probabilmente una passphrase per un cripto-valuta portafoglio, Al Maawali detto.
Il ricercatore ha creato un sito web dedicato in cui ha descritto il problema e la traversia attraversò cercando di ottenere Coinomi riconoscere la vulnerabilità.
Ha anche pubblicato un proof-of-concept video che è stato successivamente verificate in maniera indipendente e riprodotti da Luca Childs, un ricercatore di sicurezza, e i compagni di cryptocurrency appassionato.
Alcune persone non sembrano essere in grado di vedere il video, perché la citazione tweet è mostrato, invece, ecco il video: pic.twitter.com/x592HW9sEi
— Luca Childs (@lukechilds) 27 febbraio 2019
Childs non è estraneo alla Coinomi problemi. Indietro nel 2016, ha scoperto che il Coinomi app per Android è stata la comunicazione con i server di backend via plaintext HTTP. Proprio come Al Maawali caso, Coinomi ha rifiutato di riconoscere il problema e in seguito eliminato Childs’ bug report dopo un acceso scambio privato –in dettaglio in questa pagina.
Coinomi, che offre un multi-cryptocurrency wallet app per Android, iOS, Linux, Mac e Windows, non ha risposto a una richiesta di commento.
Al Maawali sostiene di aver perso tra $60.000 e 70.000 dollari vale la pena in diverse cryptocurrencies. Ci sono anche altre relazioni su Coinomi del Reddit thread in cui gli utenti si lamentano di svegliarmi un giorno e di trovare tutte le loro Coinomi-managed account svuotato durante la notte [1, 2].
Relative cybersecurity notizie:
Gli hacker sono in grado di dirottare bare-metal server cloud di corrompere la loro BMC firmwareA terzo di tutte le estensioni di Chrome richiesta di accesso ai dati dell’utente su qualsiasi siteHacker ruba $7,7 milioni di euro nel EOS cryptocurrency dopo blacklist snafu
Il nuovo browser di attacco consente agli hacker di eseguire codice non valido anche dopo che gli utenti di lasciare un web pageResearchers rompere le firme digitali per la maggior parte dei desktop PDF viewersIt hacker ha preso solo tre giorni per iniziare a sfruttare ultima Drupal bug
Bitcoin precipita, seguendo con interesse il blockchain, cryptocurrency lavori TechRepublicWill il Samsung Galaxy S10 venire cryptocurrency-pronto? CNET
Argomenti Correlati:
Blockchain
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati