По сообщениям, кошелек для криптовалюты с несколькими активами Coinomi имеет серьезную уязвимость в безопасности, так как, по мнению различных исследователей в области безопасности, он отправляет исходные фразы пользователей в виде простого текста на сторонние серверы.
Пользователь Twitter Warith Al Maawali , который первым обнаружил уязвимость, утверждает, что узнал об этом после потери большого количества криптовалюты после добавления своей фразы восстановления в Coinomi. Он написал:
Моя парольная фраза была взломана, и криптовалюта на 60-70 тыс. Долларов была украдена из-за кошелька Coinomi и того, как он обрабатывал мою парольную фразу.
Сама уязвимость видит, что кошелек криптовалюты отправляет исходные фразы пользователей в виде незашифрованного простого текста в принадлежащую Google функцию проверки правописания. Используя программное обеспечение, которое позволяет отслеживать и отлаживать трафик HTTP / HTTPS в приложениях, Маавали узнал об активности.
Чтобы проверить угрозу, он отметил на веб-сайте, посвященном инциденту, который все пользователи должны сделать, это «просто вставить любое случайное предложение с [a] орфографической ошибкой в текстовое поле в форме / странице« Восстановить кошелек »Coinomi». он написал, что ошибка будет подчеркнута красным, после отправки в Google для проверки орфографии.
В Твиттере исследователь безопасности Люк Чайлдс опубликовал видео, показывающее, что Coinomi действительно отправлял в Google исходные фразы своих пользователей.
Ответ Коиноми
Перед тем, как обнародовать уязвимость, Маавали утверждает, что обратился к Coinomi, чтобы объяснить ситуацию. По его словам, команда, стоящая за кошельком, «не отражала какого-либо ответственного поведения, и они продолжали спрашивать меня о технических проблемах, связанных с ошибкой, потому что они беспокоились о своем имидже и репутации».
Маавали утверждает, что Coinomi «продолжал напоминать» ему угрожающим образом о «юридических последствиях» раскрытия уязвимости. Он отметил, что они не должны забывать о юридических последствиях его средств, которые теперь ушли.
В прошлом Люк Чайлдс, в частности, раскрыл уязвимость, которую имела Coinomi.Уязвимость передавала транзакции своих пользователей в незашифрованном виде на серверы Electrum без использования стандартной технологии безопасности. В то время разработчики отреагировали защитно , критикуя Чайлдса, утверждая, что он распространяет страх, неуверенность и сомнения (FUD).
Маавали посоветовал тем, кто использует Coinomi, как можно быстрее обезопасить свои средства:
Всем, кто использует или использовал кошелек Coinomi, обязательно удалите свои средства из кошелька и измените свою парольную фразу, создав новый кошелек с помощью другого приложения, иначе ваши средства могут быть украдены рано или поздно
Доступные данные показывают, что кошелек Coinomi не имеет открытого кода , а это означает, что его код не доступен для общественности. Некоторые в криптографическом сообществе считают, что таких кошельков следует избегать, поскольку они могут содержать скрытые уязвимости безопасности.