경고!: Coinomi 지갑이 Google 시드 문구로 전송

По сообщениям, кошелек для криптовалюты с несколькими активами Coinomi имеет серьезную уязвимость в безопасности, так как, по мнению различных исследователей в области безопасности, он отправляет исходные фразы пользователей в виде простого текста на сторонние серверы.

Пользователь Twitter Warith Al Maawali , который первым обнаружил уязвимость, утверждает, что узнал об этом после потери большого количества криптовалюты после добавления своей фразы восстановления в Coinomi. Он написал:

Моя парольная фраза была взломана, и криптовалюта на 60-70 тыс. Долларов была украдена из-за кошелька Coinomi и того, как он обрабатывал мою парольную фразу.

Сама уязвимость видит, что кошелек криптовалюты отправляет исходные фразы пользователей в виде незашифрованного простого текста в принадлежащую Google функцию проверки правописания. Используя программное обеспечение, которое позволяет отслеживать и отлаживать трафик HTTP / HTTPS в приложениях, Маавали узнал об активности.

Чтобы проверить угрозу, он отметил на веб-сайте, посвященном инциденту, который все пользователи должны сделать, это «просто вставить любое случайное предложение с [a] орфографической ошибкой в ​​текстовое поле в форме / странице« Восстановить кошелек »Coinomi». он написал, что ошибка будет подчеркнута красным, после отправки в Google для проверки орфографии.

В Твиттере исследователь безопасности Люк Чайлдс опубликовал видео, показывающее, что Coinomi действительно отправлял в Google исходные фразы своих пользователей.

루크 차일즈@루크차일드

보안 취약성@코인노미월렛 입력 할 때 일반 텍스트 시드 구문을 Google의 원격 맞춤법 검사기 API로 보냅니다! 이것은 농담이 아닙니다!

증명을 위해 비디오가 첨부되었습니다.

신용은에 간다 @워리스2020 문제를 찾으려면 여기에서 그에 대한 자세한 내용을 읽어보세요. https://twitter.com/warith2020/sta투스 / 1100545569636917248 ...

와리스 알 마아왈리뿡 빵뀨

원격으로 암호화폐 지갑의 암호를 맞춤법 검사 #코 이노미 https://www.피하다-coinomi.com https://bitcointalk.org/index.php?tpic = 5114708.0 ...#btc $btc $ltc $xmr $trx $xrp $zcoin $대시 $zcash $ $에트 $방주 $bch

Маавали считает, что его средства были украдены кем-то, имеющим доступ к трафику, или кем-то из Google, кто заметил начальную фразу. Исследователи добавили, что другие пользователи кошелька Coinomi сообщили, что их средства исчезли.

Ответ Коиноми

Перед тем, как обнародовать уязвимость, Маавали утверждает, что обратился к Coinomi, чтобы объяснить ситуацию. По его словам, команда, стоящая за кошельком, «не отражала какого-либо ответственного поведения, и они продолжали спрашивать меня о технических проблемах, связанных с ошибкой, потому что они беспокоились о своем имидже и репутации».

Маавали утверждает, что Coinomi «продолжал напоминать» ему угрожающим образом о «юридических последствиях» раскрытия уязвимости. Он отметил, что они не должны забывать о юридических последствиях его средств, которые теперь ушли.

В прошлом Люк Чайлдс, в частности, раскрыл уязвимость, которую имела Coinomi.Уязвимость передавала транзакции своих пользователей в незашифрованном виде на серверы Electrum без использования стандартной технологии безопасности. В то время разработчики отреагировали защитно , критикуя Чайлдса, утверждая, что он распространяет страх, неуверенность и сомнения (FUD).

Маавали посоветовал тем, кто использует Coinomi, как можно быстрее обезопасить свои средства:

Всем, кто использует или использовал кошелек Coinomi, обязательно удалите свои средства из кошелька и измените свою парольную фразу, создав новый кошелек с помощью другого приложения, иначе ваши средства могут быть украдены рано или поздно

Доступные данные показывают, что кошелек Coinomi не имеет открытого кода , а это означает, что его код не доступен для общественности. Некоторые в криптографическом сообществе считают, что таких кошельков следует избегать, поскольку они могут содержать скрытые уязвимости безопасности.

기사 평가
블록체인 미디어
코멘트를 추가