Кошелек Coinomi отправляет кодовые фразы пользователей в службу проверки орфографии Google в незашифрованном виде, открывая мошенникам доступ к приватной информации и давая возможность завладеть средствами пользователей.
Об этой проблеме стало известно после гневного поста в Twitter программиста Уорита Аль Маавали, который обнаружил брешь в безопасности, расследуя таинственную кражу 90% его средств.
Аль Маавали рассказал, что во время настройки кошелька Coinomi, когда пользователи мнемоническую фразу (seed), приложение Coinomi захватывает вводимые пользователем текстовые данные и автоматически отправляет их в службу Google Spellcheck API для проверки правописания в открытом виде. «Чтобы понять, что происходит, я объясню это технически, — говорит Аль Маавали. — интерфейс кошелька написан на HTML и JavaScript и визуализируется с помощью встроенного браузера на основе Chromium». Как и любое другое приложение на основе Chromium, приложение кошелька интегрировано с различными функциями, ориентированными на Google, такими как функция автоматической проверки орфографии для всех текстовых полей ввода пользователя. Похоже, проблема заключается в том, что команда Coinomi не удосужилась отключить эту функцию в коде пользовательского интерфейса своего кошелька, что привело к ситуации, когда бекап-фразы кошельков всех их пользователей просачивались через HTTP во время процесса установки и настройки кошелька.
Любой, кто в состоянии перехватить веб-трафик из приложения кошелька, сможет увидеть seed-фразу приложения кошелька Coinomi в незашифрованном виде. Эта фраза позволяет злоумышленникам получить с помощью функции восстановления доступ ко всем средствам, хранящимся в кошельке пользователя.
Хотя у Аль-Маавали нет убедительных доказательств того, что именно так хакеры получили доступ к его данным, он утверждает, что были украдены только те средства, которые хранились в кошельке Coinomi, и поэтому он не видит другого способа похитить криптовалюту, кроме как через доступ к мнемонической фразе Coinomi.
«Любой, кто занимается технологиями и криптовалютой, знает, что (…) 12 случайных английских слов, разделенных пробелами, вероятно, станут кодовой фразой для криптовалютного кошелька», — сказал Аль Маавали.
Исследователь создал специальный веб-сайт, где он описал проблему и эксперимент, который он провел, пытаясь заставить Coinomi признать уязвимость. Он также опубликовал видео с проверкой своей концепции, которое позже было независимо проверено и воспроизведено Люком Чайлдсом, исследователем безопасности.
Coinomi, которая предлагает мульти-криптовалютное приложение для кошельков для Android, iOS, Linux, Mac и Windows, не ответила на запрос пострадавшего пользователя с предложением компенсировать украденные средства. Однако, обновленная версия приложения появилась уже на следующий день после обращения пользователя.
Аль Маавали утверждает, что он потерял от 60’000 до 70’000 долларов США в различных криптовалютах. Его версия кражи средств подтверждается другими сообщениями в ветке Coinomi на форуме Reddit, где пользователи жалуются на то, что однажды они проснулись и обнаружили, что все их кошельки Coinomi, были опустошены за одну ночь.
