সতর্কতা!: Coinomi ওয়ালেট Google-এ বীজ বাক্যাংশ পাঠায়

По сообщениям, кошелек для криптовалюты с несколькими активами Coinomi имеет серьезную уязвимость в безопасности, так как, по мнению различных исследователей в области безопасности, он отправляет исходные фразы пользователей в виде простого текста на сторонние серверы.

Пользователь Twitter Warith Al Maawali , который первым обнаружил уязвимость, утверждает, что узнал об этом после потери большого количества криптовалюты после добавления своей фразы восстановления в Coinomi. Он написал:

Моя парольная фраза была взломана, и криптовалюта на 60-70 тыс. Долларов была украдена из-за кошелька Coinomi и того, как он обрабатывал мою парольную фразу.

Сама уязвимость видит, что кошелек криптовалюты отправляет исходные фразы пользователей в виде незашифрованного простого текста в принадлежащую Google функцию проверки правописания. Используя программное обеспечение, которое позволяет отслеживать и отлаживать трафик HTTP / HTTPS в приложениях, Маавали узнал об активности.

Чтобы проверить угрозу, он отметил на веб-сайте, посвященном инциденту, который все пользователи должны сделать, это «просто вставить любое случайное предложение с [a] орфографической ошибкой в текстовое поле в форме / странице« Восстановить кошелек »Coinomi». он написал, что ошибка будет подчеркнута красным, после отправки в Google для проверки орфографии.

В Твиттере исследователь безопасности Люк Чайлдс опубликовал видео, показывающее, что Coinomi действительно отправлял в Google исходные фразы своих пользователей.

লুক চাইল্ডস@লুকচাইল্ডস

নিরাপত্তা দুর্বলতা@Coinomi ওয়ালেট আপনি যখন এটি প্রবেশ করেন তখন আপনার প্লেইন টেক্সট বীজ বাক্যাংশটি Google এর দূরবর্তী বানান পরীক্ষক API এ পাঠায়! এটি তামাশা না!

প্রমাণের জন্য ভিডিও সংযুক্ত।

ক্রেডিট যায় যায় @warith2020 সমস্যাটি খুঁজে বের করার জন্য, এখানে তার কাছ থেকে আরও পড়ুন: https://twitter.com/warith2020/status/1100545569636917248 ...

ওয়ারিৎ আল মাওয়ালি@warith2020

আপনার ক্রিপ্টো-কারেন্সি ওয়ালেটের পাসফ্রেজটি দূরবর্তীভাবে বানান পরীক্ষা করুন #Coinomi https://www.avoid-coinomi.com https://bitcointalk.org/index.php?topiসি = 5114708.0 ...#বিটিসি $বিটিসি $LTC $xmr $trx $xrp $zcoin $হানাহানি $zcash $gno $eth $সিন্দুক $BCH

Маавали считает, что его средства были украдены кем-то, имеющим доступ к трафику, или кем-то из Google, кто заметил начальную фразу. Исследователи добавили, что другие пользователи кошелька Coinomi сообщили, что их средства исчезли.

Ответ Коиноми

Перед тем, как обнародовать уязвимость, Маавали утверждает, что обратился к Coinomi, чтобы объяснить ситуацию. По его словам, команда, стоящая за кошельком, «не отражала какого-либо ответственного поведения, и они продолжали спрашивать меня о технических проблемах, связанных с ошибкой, потому что они беспокоились о своем имидже и репутации».

Маавали утверждает, что Coinomi «продолжал напоминать» ему угрожающим образом о «юридических последствиях» раскрытия уязвимости. Он отметил, что они не должны забывать о юридических последствиях его средств, которые теперь ушли.

В прошлом Люк Чайлдс, в частности, раскрыл уязвимость, которую имела Coinomi.Уязвимость передавала транзакции своих пользователей в незашифрованном виде на серверы Electrum без использования стандартной технологии безопасности. В то время разработчики отреагировали защитно , критикуя Чайлдса, утверждая, что он распространяет страх, неуверенность и сомнения (FUD).

Маавали посоветовал тем, кто использует Coinomi, как можно быстрее обезопасить свои средства:

Всем, кто использует или использовал кошелек Coinomi, обязательно удалите свои средства из кошелька и измените свою парольную фразу, создав новый кошелек с помощью другого приложения, иначе ваши средства могут быть украдены рано или поздно

Доступные данные показывают, что кошелек Coinomi не имеет открытого кода , а это означает, что его код не доступен для общественности. Некоторые в криптографическом сообществе считают, что таких кошельков следует избегать, поскольку они могут содержать скрытые уязвимости безопасности.