चेतावनी!: Coinomi वॉलेट Google को बीज वाक्यांश भेजता है

По сообщениям, кошелек для криптовалюты с несколькими активами Coinomi имеет серьезную уязвимость в безопасности, так как, по мнению различных исследователей в области безопасности, он отправляет исходные фразы пользователей в виде простого текста на сторонние серверы.

Пользователь Twitter Warith Al Maawali , который первым обнаружил уязвимость, утверждает, что узнал об этом после потери большого количества криптовалюты после добавления своей фразы восстановления в Coinomi. Он написал:

Моя парольная фраза была взломана, и криптовалюта на 60-70 тыс. Долларов была украдена из-за кошелька Coinomi и того, как он обрабатывал мою парольную фразу.

Сама уязвимость видит, что кошелек криптовалюты отправляет исходные фразы пользователей в виде незашифрованного простого текста в принадлежащую Google функцию проверки правописания. Используя программное обеспечение, которое позволяет отслеживать и отлаживать трафик HTTP / HTTPS в приложениях, Маавали узнал об активности.

Чтобы проверить угрозу, он отметил на веб-сайте, посвященном инциденту, который все пользователи должны сделать, это «просто вставить любое случайное предложение с [a] орфографической ошибкой в текстовое поле в форме / странице« Восстановить кошелек »Coinomi». он написал, что ошибка будет подчеркнута красным, после отправки в Google для проверки орфографии.

В Твиттере исследователь безопасности Люк Чайлдс опубликовал видео, показывающее, что Coinomi действительно отправлял в Google исходные фразы своих пользователей.

ल्यूक चाइल्ड्स@ ल्यूकचिल्ड्स

सुरक्षा भेद्यता@कॉइनोमी वॉलेट जब आप इसे दर्ज करते हैं तो आपका सादा पाठ बीज वाक्यांश Googles रिमोट स्पेलचेकर एपीआई को भेजता है! यह कोई मजाक नहीं है!

सबूत के लिए वीडियो संलग्न।

क्रेडिट करने के लिए चला जाता है @वारिथ2020 इस मुद्दे को खोजने के लिए, उससे यहाँ और पढ़ें: https://twitter.com/warith2020/staतुस/1100545569636917248 ...

वरिथ अल मावली@ warith2020

के साथ दूर से अपने क्रिप्टो-मुद्रा वॉलेट के पासफ़्रेज़ की वर्तनी जाँचें #Coinomi https://www.बचें-coinomi.com https://bitcointalk.org/index.php?topic = 5114708.0 ...#बैंकर प्रशिक्षण महाविद्यालय $बैंकर प्रशिक्षण महाविद्यालय $एलटीसी $xmr $trx $XRP $zcoin $पानी का छींटा $zcash $GNO $ETH $सन्दूक $bch

Маавали считает, что его средства были украдены кем-то, имеющим доступ к трафику, или кем-то из Google, кто заметил начальную фразу. Исследователи добавили, что другие пользователи кошелька Coinomi сообщили, что их средства исчезли.

Ответ Коиноми

Перед тем, как обнародовать уязвимость, Маавали утверждает, что обратился к Coinomi, чтобы объяснить ситуацию. По его словам, команда, стоящая за кошельком, «не отражала какого-либо ответственного поведения, и они продолжали спрашивать меня о технических проблемах, связанных с ошибкой, потому что они беспокоились о своем имидже и репутации».

Маавали утверждает, что Coinomi «продолжал напоминать» ему угрожающим образом о «юридических последствиях» раскрытия уязвимости. Он отметил, что они не должны забывать о юридических последствиях его средств, которые теперь ушли.

В прошлом Люк Чайлдс, в частности, раскрыл уязвимость, которую имела Coinomi.Уязвимость передавала транзакции своих пользователей в незашифрованном виде на серверы Electrum без использования стандартной технологии безопасности. В то время разработчики отреагировали защитно , критикуя Чайлдса, утверждая, что он распространяет страх, неуверенность и сомнения (FUD).

Маавали посоветовал тем, кто использует Coinomi, как можно быстрее обезопасить свои средства:

Всем, кто использует или использовал кошелек Coinomi, обязательно удалите свои средства из кошелька и измените свою парольную фразу, создав новый кошелек с помощью другого приложения, иначе ваши средства могут быть украдены рано или поздно

Доступные данные показывают, что кошелек Coinomi не имеет открытого кода , а это означает, что его код не доступен для общественности. Некоторые в криптографическом сообществе считают, что таких кошельков следует избегать, поскольку они могут содержать скрытые уязвимости безопасности.