Coinomi钱包应用以明文形式将用户钱包恢复密码发送给Google的拼写检查服务,使用户的帐户及其资金遭受中间人(MitM)攻击,在此期间攻击者可以记录密码并随后接管和清空帐户。
昨天,在阿曼程序员Warith Al Maawali愤怒地写信后发现了这个问题,他在调查90%的资金被神秘盗窃时发现了这个问题。
Al Maawali说,在Coinomi钱包恢复过程中,当用户输入恢复密码时,Coinomi应用会在密码文本框中捕获用户的输入,然后将其静默发送给Google的Spellcheck API服务。
Al Maawali说:“要了解发生了什么,我将在技术上进行解释。” “ Coinomi核心功能是使用Java编程语言构建的。用户界面是使用HTML / JavaScript设计的,并使用了基于集成的Chromium(谷歌的开源项目)的浏览器进行渲染。”
Al Maawali说,就像其他任何基于Chromium的应用一样,它还集成了以Google为中心的各种功能,例如针对所有用户输入文本框的自动拼写检查功能。
问题似乎是Coinomi团队没有费心在钱包的UI代码中禁用此功能,从而导致了在安装过程中所有用户密码都通过HTTP泄漏的情况。
任何能够拦截来自钱包应用程序的网络流量的人都可以看到明文的Coinomi钱包应用程序密码。
该密码短语使攻击者能够(通过还原钱包功能)访问用户的钱包以及与该钱包关联的所有加密货币帐户-并隐含所有用户的资金。
虽然Al Maawali没有确切的证据证明黑客是如何窃取他的资金的,但他声称只有Coinomi储存的资金被盗,因此他认为,除了获得他的Coinomi密码外,黑客没有其他途径可以访问这些帐户。 。
Al Maawali说:“参与技术和加密货币的任何人都知道,用空格分隔的12个随机英语单词可能是加密货币钱包的密码短语。”
研究人员创建了一个专门的网站,他在其中描述了问题以及他试图让Coinomi认可该漏洞所经历的苦难。
他还发布了概念验证视频,该视频后来由安全研究员Luke Childs和其他加密货币狂热者独立验证和复制。
查尔斯对于Coinomi问题并不陌生。早在2016年,他发现Coinomi Android应用正在通过纯文本HTTP与后端服务器进行通信。就像在Al Maawali的案子中一样,Coinomi拒绝承认这个问题,并在激烈的私人交流后删除了Childs的错误报告-详细内容在本页上。
Coinomi提供了适用于Android,iOS,Linux,Mac和Windows的多加密货币钱包应用程序,但没有对此发表评论。