Главная / Новости / Криптокошелек Coinomi раскрывал seed-фразы из-за проверки правописания

Криптокошелек Coinomi раскрывал seed-фразы из-за проверки правописания

Криптокошелек Coinomi раскрывал seed-фразы из-за проверки правописания

Подробности

Опубликовано: 28 Февраль 2019

Кошелек Coinomi использовал Google API для проверки правописания seed-фраз пользователей. Один из клиентов кошелька по этой причине лишился криптовалюты на $70000.

Жи-Ши

В популярном криптокошельке Coinomi обнаружили уязвимость, которая привела к утечке персональных данных и краже криптовалюты. Один из пользователей заметил пропажу криптовалюты с одного из своих кошельков стоимостью около $70 000. Он отследил запросы, которые делало приложение, и выяснил, что кошелек Coinomi проверял правописание seed-фразы с помощью Google API. Это происходило в тот момент, когда юзер вводил кодовую фразу в поле восстановления кошелька. Его seed-фраза отправлялась как обычный текст на googleapis.com для проверки правописания.

По всей видимости, мошенники обнаружили эту уязвимость и смогли найти нужную информацию о seed-фразах на серверах Google.

Пользователи в соцсетях тут же распространили исходное сообщение, в котором расказывалось и даже показывалось на видео, как происходит проверка правописания, и отметили нелепость такого бага.

«Это не шутка!» — написал один из твиттер-юзеров.

SECURITY VULNERABILITY@CoinomiWallet sends your plain text seed phrase to Googles remote spellchecker API when you enter it! This is not a joke!

Video attached for proof.

Credit goes to @warith2020 for finding the issue, read more from him here: https://t.co/tCZ0hDPyJ3 pic.twitter.com/hdaPOb84A9

— Luke Childs (@lukechilds) 27 февраля 2019 г.

Во всем виноваты другие разработчики

В Coinomi подтвердили наличие такого бага и сообщили, что функция проверки орфографии с помощью Google API была включена только для десктопных приложений и не касалась мобильных приложений. Команда Coinomi уточнила, что seed-фраза не передавалась в виде простого текста, а была заключена в https-запрос и отправлялась исключительно в адрес Google. Помимо этого, seed-фраза передавалась только при восстановлении доступа к криптокошельку через десктопное приложение.

«Наши инженеры выяснили причину этой проблемы, которая заключалась не в ошибки нашего исходного кода, а в неправильной конфигурации опций плагина, используемом только в десктопных кошельках. Этот плагин по умолчанию включал функцию проверки орфографии в недавном обновлении и был исправлен командой плагинов jxBrowser всего 6 дней назад. В тот же день с нами связался Варит Аль-Маавали [пользователь, потерявший криптовалюту]. Все версии десктопных приложений были исправлены сразу после того, как мы получили полное описание проблемы», — говорится в сообщении Coinomi.

Coinomi уточнила, что идентифицировала адреса, на которые была отправлена криптовалюта пострадавшего пользователя, и что они были добавлены в «черный список», что затруднит мошенникам ее обмен на биржах.

Coinomi призвали пользователей десктопных приложений обновиться до последней версии, в которую были внесены исправления.

Источник

No votes yet.
Please wait...

Смотрите также

Крипто-проект ICON освобождает пользователей DApps от уплаты комиссий

Команда проекта ICON представила накануне обновленную систему сбора комиссий для пользователей децентрализованных приложений (DApps). Система …

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.