تحذير!: ترسل محفظة Coinomi عبارات بذور جوجل

По сообщениям, кошелек для криптовалюты с несколькими активами Coinomi имеет серьезную уязвимость в безопасности, так как, по мнению различных исследователей в области безопасности, он отправляет исходные фразы пользователей в виде простого текста на сторонние серверы.

Пользователь Twitter Warith Al Maawali , который первым обнаружил уязвимость, утверждает, что узнал об этом после потери большого количества криптовалюты после добавления своей фразы восстановления в Coinomi. Он написал:

Моя парольная фраза была взломана, и криптовалюта на 60-70 тыс. Долларов была украдена из-за кошелька Coinomi и того, как он обрабатывал мою парольную фразу.

Сама уязвимость видит, что кошелек криптовалюты отправляет исходные фразы пользователей в виде незашифрованного простого текста в принадлежащую Google функцию проверки правописания. Используя программное обеспечение, которое позволяет отслеживать и отлаживать трафик HTTP / HTTPS в приложениях, Маавали узнал об активности.

Чтобы проверить угрозу, он отметил на веб-сайте, посвященном инциденту, который все пользователи должны сделать, это «просто вставить любое случайное предложение с [a] орфографической ошибкой в текстовое поле в форме / странице« Восстановить кошелек »Coinomi». он написал, что ошибка будет подчеркнута красным, после отправки в Google для проверки орфографии.

В Твиттере исследователь безопасности Люк Чайлдс опубликовал видео, показывающее, что Coinomi действительно отправлял в Google исходные фразы своих пользователей.

لوقا تشايلدزتضمين التغريدة

الضعف الأمني@محفظة Coinomi يرسل عبارة أولية للنص العادي إلى Googles remote spellchecker API عند إدخالها! هذه ليست مزحة!

مرفق الفيديو للإثبات.

ويرجع الفضل ل @وارث 2020 للعثور على المشكلة ، اقرأ المزيد منه هنا: https://twitter.com/warith2020/staتوس / 1100545569636917248 ...

واريث المعولييارب احفظها

التدقيق الإملائي في عبارة مرور محفظة العملات المشفرة عن بُعد باستخدام #Coinomi https://www.تجنب-coinomi.com https://bitcointalk.org/index.php؟topiج = 5114708.0 ...#BTC $BTC $LTC $xmr $TRX $XRP $zcoin $اندفاع $zcash $GNO $ETH $تابوت $كيح

Маавали считает, что его средства были украдены кем-то, имеющим доступ к трафику, или кем-то из Google, кто заметил начальную фразу. Исследователи добавили, что другие пользователи кошелька Coinomi сообщили, что их средства исчезли.

Ответ Коиноми

Перед тем, как обнародовать уязвимость, Маавали утверждает, что обратился к Coinomi, чтобы объяснить ситуацию. По его словам, команда, стоящая за кошельком, «не отражала какого-либо ответственного поведения, и они продолжали спрашивать меня о технических проблемах, связанных с ошибкой, потому что они беспокоились о своем имидже и репутации».

Маавали утверждает, что Coinomi «продолжал напоминать» ему угрожающим образом о «юридических последствиях» раскрытия уязвимости. Он отметил, что они не должны забывать о юридических последствиях его средств, которые теперь ушли.

В прошлом Люк Чайлдс, в частности, раскрыл уязвимость, которую имела Coinomi.Уязвимость передавала транзакции своих пользователей в незашифрованном виде на серверы Electrum без использования стандартной технологии безопасности. В то время разработчики отреагировали защитно , критикуя Чайлдса, утверждая, что он распространяет страх, неуверенность и сомнения (FUD).

Маавали посоветовал тем, кто использует Coinomi, как можно быстрее обезопасить свои средства:

Всем, кто использует или использовал кошелек Coinomi, обязательно удалите свои средства из кошелька и измените свою парольную фразу, создав новый кошелек с помощью другого приложения, иначе ваши средства могут быть украдены рано или поздно

Доступные данные показывают, что кошелек Coinomi не имеет открытого кода , а это означает, что его код не доступен для общественности. Некоторые в криптографическом сообществе считают, что таких кошельков следует избегать, поскольку они могут содержать скрытые уязвимости безопасности.