Billede: Warith Al Maawali
Den Coinomi wallet-app sender brugeren adgangskoder til Googles stavekontrol service i klar tekst, udsætter brugeres konti, og deres midler til man-in-the-middle (MitM) angreb i løbet, som angribere kan logge adgangskoder, og senere tømme konti.
Spørgsmålet kom frem i går, efter at en vred skrive-up af Oman-baseret programmør Warith Al Maawali, der opdagede det mens de undersøger mystiske tyveri af 90 procent af sine midler.
Al Maawali siger, at under den Coinomi tegnebog setup, når brugere vælger en adgangskode (passphrase), Coinomi app griber brugerens input inde løsen tekstfeltet og lydløst sender det til Google ‘ s Stavekontrol API service.
“For at forstå, hvad der foregår, vil jeg forklare det teknisk,” Al Maawali sagde. “Coinomi grundlæggende funktionalitet er bygget ved hjælp af programmeringssproget Java. Brugergrænsefladen er designet ved hjælp af HTML/JavaScript, og gjorde brug af integreret Chrom (Google ‘ s open-source-projekt) baseret browser.”
Al Maawali siger, at ligesom alle andre Chrom-baseret app, der kommer integreret med forskellige Google-centreret funktioner, såsom automatisk stavekontrol funktion for alle input fra brugeren tekstbokse.
Problemet synes at være, at den Coinomi holdet ikke gider at deaktivere denne funktion i deres tegnebog ‘ s UI-kode, der fører til en situation, hvor alle deres brugeres adgangskoder er utætte via HTTP under installationen.
Enhver i en position til at aflytte web-trafik fra wallet-app ‘ en ville være i stand til at se Coinomi wallet-app kodeord i klartekst.
Denne kode kan hackere få adgang til en brugers tegnebog (via gendan wallet funktion) og alle de cryptocurrency konti, der er forbundet med at tegnebog –og implicit, at alle brugere’ penge.
Mens Al Maawali har ikke det endelige bevis på, at dette er, hvordan hackere stjal hans penge, han hævder, at kun Coinomi-lagrede midler blev stjålet, så han ser ingen anden måde hackere kan have fået adgang til disse konti udover at få adgang til hans Coinomi løsen.
“Enhver, der er involveret i teknologi og krypto-valuta ved, at […] 12 tilfældige engelske ord adskilt med mellemrum vil sandsynligvis være en adgangssætning til en krypto-valuta tegnebog,” Al Maawali sagde.
Forskeren har oprettet en dedikeret hjemmeside, hvor han beskrev problemet og de prøvelser han gik med at prøve at få Coinomi til at anerkende denne svaghed.
Han har også udgivet en proof-of-concept-video, der senere blev uafhængigt verificeret og gengivet af Luke Childs, en sikkerhedsekspert, og kolleger cryptocurrency aficionado.
Nogle mennesker synes ikke at være i stand til at se video, fordi citat tweet er vist i stedet, her er videoen: pic.twitter.com/x592HW9sEi
— Luke Childs (@lukechilds) 27 februar 2019
Børn er ikke fremmed for Coinomi spørgsmål. Tilbage i 2016, opdagede han, at den Coinomi Android app, var at kommunikere med sin backend servere via almindelig HTTP. Ligesom i Al Maawali ‘s tilfælde, Coinomi nægtede at anerkende problemet og senere slettet Childs’ fejlrapport efter en opvarmet privat udveksling –nærmere i dybden på denne side.
Coinomi, som tilbyder en multi-cryptocurrency wallet-app til Android, iOS, Linux, Mac og Windows, der ikke reagerer på en anmodning om kommentarer.
Al Maawali hævder, at han mistede mellem $60.000 og $70,000 værd i forskellige lad os starte. Der er også andre rapporter om Coinomi s Reddit tråd, hvor brugerne klager over at vågne op en dag til at finde alle deres Coinomi-administrerede konti tømt natten [1, 2].
Relaterede cybersecurity dækning af nyheder:
Hackere kan kapre bare-metal cloud-servere ved at ødelægge deres BMC firmwareA tredjedel af alle Chrome-udvidelser anmode om adgang til brugerens data, på enhver siteHacker stjæler $7,7 millioner i EOS cryptocurrency efter at sortliste snafu
Nye browser angreb lader hackere køre dårlig kode, selv når brugerne forlader en web pageResearchers bryde digitale signaturer til de fleste desktop-PDF viewersIt tog hackere kun tre dage til at begynde at udnytte de nyeste Drupal fejl
Bitcoin styrtdykker, sammen med interesse i blokkæden, cryptocurrency job TechRepublicWill Samsung Galaxy S10 kommer cryptocurrency-klar? CNET
Relaterede Emner:
Blokkæden
Sikkerhed-TV
Data Management
CXO
Datacentre