Блокчейн, финтех, новая экономика, блэкджек

Кошелек Coinomi уязвим: у пользователя похищена криптовалюта на сумму более $60’000

Новости

Кошелек Coinomi отправляет кодовые фразы пользователей в службу проверки орфографии Google в незашифрованном виде, открывая мошенникам доступ к приватной информации и давая возможность завладеть средствами пользователей.

Об этой проблеме стало известно после гневного поста в Twitter программиста Уорита Аль Маавали, который обнаружил брешь в безопасности, расследуя таинственную кражу 90% его средств.

Аль Маавали рассказал, что во время настройки кошелька Coinomi, когда пользователи мнемоническую фразу (seed), приложение Coinomi захватывает вводимые пользователем текстовые данные и автоматически отправляет их в службу Google Spellcheck API для проверки правописания в открытом виде. «Чтобы понять, что происходит, я объясню это технически, — говорит Аль Маавали. — интерфейс кошелька написан на HTML и JavaScript и визуализируется с помощью встроенного браузера на основе Chromium». Как и любое другое приложение на основе Chromium, приложение кошелька интегрировано с различными функциями, ориентированными на Google, такими как функция автоматической проверки орфографии для всех текстовых полей ввода пользователя. Похоже, проблема заключается в том, что команда Coinomi не удосужилась отключить эту функцию в коде пользовательского интерфейса своего кошелька, что привело к ситуации, когда бекап-фразы кошельков всех их пользователей просачивались через HTTP во время процесса установки и настройки кошелька.

Любой, кто в состоянии перехватить веб-трафик из приложения кошелька, сможет увидеть seed-фразу приложения кошелька Coinomi в незашифрованном виде. Эта фраза позволяет злоумышленникам получить с помощью функции восстановления доступ ко всем средствам, хранящимся в кошельке пользователя.

Хотя у Аль-Маавали нет убедительных доказательств того, что именно так хакеры получили доступ к его данным, он утверждает, что были украдены только те средства, которые хранились в кошельке Coinomi, и поэтому он не видит другого способа похитить криптовалюту, кроме как через доступ к мнемонической фразе Coinomi.

«Любой, кто занимается технологиями и криптовалютой, знает, что (…) 12 случайных английских слов, разделенных пробелами, вероятно, станут кодовой фразой для криптовалютного кошелька», — сказал Аль Маавали.

Исследователь создал специальный веб-сайт, где он описал проблему и эксперимент, который он провел, пытаясь заставить Coinomi признать уязвимость. Он также опубликовал видео с проверкой своей концепции, которое позже было независимо проверено и воспроизведено Люком Чайлдсом, исследователем безопасности.

Coinomi, которая предлагает мульти-криптовалютное приложение для кошельков для Android, iOS, Linux, Mac и Windows, не ответила на запрос пострадавшего пользователя с предложением компенсировать украденные средства. Однако, обновленная версия приложения появилась уже на следующий день после обращения пользователя.

Аль Маавали утверждает, что он потерял от 60’000 до 70’000 долларов США в различных криптовалютах. Его версия кражи средств подтверждается другими сообщениями в ветке Coinomi на форуме Reddit, где пользователи жалуются на то, что однажды они проснулись и обнаружили, что все их кошельки Coinomi, были опустошены за одну ночь.

Понравилась статья?

Подпишись на e-mail рассылку и будь всегда в курсе последних событий
BTC
64302-5.71%
ETH
3342.22-7.62%
BCH
368.61-9.08%
XRP
0.59-4.83%
Ту зе МУН