Afbeelding: Warith Al Maawali
De Coinomi portefeuille-app stuurt de wachtwoorden van de gebruikers van Google spellingcontrole service in een duidelijke tekst, het blootstellen van de accounts van de gebruikers en hun fondsen voor man-in-the-middle (MitM) aanvallen gedurende die aanvallers kunnen inloggen wachtwoorden en later lege accounts.
Het probleem kwam aan het licht van gisteren na een boze schrijf-up van Oman op basis van programmeur Warith Al Maawali die ontdekt tijdens het onderzoek naar de mysterieuze diefstal van 90 procent van zijn geld.
Al Maawali zegt dat tijdens de Coinomi portemonnee setup, wanneer gebruikers selecteren een wachtwoord (passphrase), de Coinomi app pakt de invoer van de gebruiker binnen de wachtzin textbox en geruisloos verzonden naar Google ‘ s Spellingcontrole API service.
“Om te begrijpen wat er aan de hand, ik zal het uitleggen technisch,” Al Maawali zei. “Coinomi core functionaliteit is gebouwd met behulp van de programmeertaal Java. De user interface is ontworpen met behulp van HTML/JavaScript en gerenderd met behulp van geïntegreerde Chromium (Google ‘ s open source project), gebaseerd browser.”
Al Maawali zegt die net als elke andere Chroom-gebaseerde app, het is nu geïntegreerd met verschillende Google-centered functies, zoals de automatische spellingcontrole-functie voor alle input van de gebruiker tekstvakken.
Het probleem blijkt te zijn dat de Coinomi team deed niet de moeite om deze functie uit te schakelen in hun portemonnee, UI code, die leidt naar een situatie waarbij alle wachtwoorden van gebruikers zijn lekken via HTTP tijdens het installatie proces.
Iedereen die in een positie om het onderscheppen van internetverkeer van de portefeuille-app zou in staat zijn om de Coinomi portefeuille-app van wachtzin in leesbare vorm.
Deze wachtzin laat aanvallers toegang van een gebruiker portemonnee (via de restore-functie portefeuille) en alle cryptocurrency accounts die zijn gekoppeld aan die portemonnee –en impliciet alle gebruikers’ geld.
Terwijl Al Maawali geen definitief bewijs dat dit is hoe hackers stal zijn geld, hij beweert dat alleen Coinomi opgeslagen fondsen werden gestolen, dus hij ziet geen andere manier hackers mogelijk toegang hebben gekregen tot die accounts naast het verkrijgen van toegang tot zijn Coinomi wachtzin in te vullen.
“Iedereen die betrokken is in de technologie en crypto-munt weet dat […] 12 willekeurige engelse woorden, gescheiden door spaties, zal waarschijnlijk een wachtzin toe aan een crypto-munt portemonnee,” Al Maawali zei.
De onderzoeker gemaakt van een speciale website, waar hij beschreef het probleem en de beproeving ging hij door proberen te krijgen Coinomi het erkennen van de kwetsbaarheid.
Hij postte een proof-of-concept video die werd later onafhankelijk geverifieerd en gereproduceerd door Lucas Childs, een security-onderzoeker en mede-cryptocurrency liefhebber.
Sommige mensen lijken niet in staat om de video te bekijken, omdat de tweet citeren wordt in de plaats getoond, hier is de video: pic.twitter.com/x592HW9sEi
— Lucas Childs (@lukechilds) 27 februari 2019
Childs is geen onbekende voor Coinomi problemen. Terug in 2016, ontdekte hij dat de Coinomi Android-app werd de communicatie met de backend-servers via plaintext HTTP. Net als in Al Maawali het geval van Coinomi weigerden te erkennen het probleem en later verwijderd Childs’ bug rapport na een verwarmd privé-uitwisseling –gedetailleerde in de diepte op deze pagina.
Coinomi, die een multi-cryptocurrency wallet-app voor Android, iOS, Linux, Mac en Windows, niet reageren op een verzoek om commentaar.
Al Maawali beweert dat hij verloren tussen de $60.000 en 70.000 dollar waard is in verschillende cryptocurrencies. Er zijn ook andere rapporten op Coinomi s Reddit draad waar gebruikers klagen over wakker op een dag vinden hun Coinomi-managed accounts geleegd overnachting [1, 2].
Verwante cybersecurity nieuws:
Hackers kunnen kapen bare-metal cloud servers door de beschadiging van hun BMC firmwareA derde van alle Chrome-extensies verzoek toegang tot de gegevens van de gebruiker op enig siteHacker steelt $7,7 miljoen euro in EOS cryptocurrency na blacklist snafu
Nieuwe browser-aanval laat hackers uitvoeren slechte code zelfs nadat de gebruiker laat een web pageResearchers breken digitale handtekeningen voor de meeste desktop PDF viewersIt nam hackers slechts drie dagen te gaan benutten nieuwste Drupal bug
Bitcoin keldert, samen met de interesse in de blockchain, cryptocurrency banen TechRepublicWill de Samsung Galaxy S10 komen cryptocurrency-klaar? CNET
Verwante Onderwerpen:
Blockchain
Beveiliging TV
Data Management
CXO
Datacenters