Ошибка кошелька Coinomi отправляет секретные пароли пользователей в Google Spellcheck API через HTTP в виде открытого текста.

Каталин Чимпану за нулевой день | 27 февраля 2019 года. 17:23 по Гринвичу (09:23 PST) | Тема: Безопасность

Изображение: Варит Аль Маавали

Приложение кошелька Coinomi отправляет пароли пользователей в службу проверки правописания Google в виде открытого текста, подвергая учетные записи пользователей и их средства атакам типа «человек посередине» (MitM), во время которых злоумышленники могут регистрировать пароли и позже очищать учетные записи.

Больше новостей о безопасности

Эта проблема появилась на свет вчера после гневной рецензии оманского программиста Уорита Аль Маавали, который обнаружил ее, расследуя таинственную кражу 90 процентов его средств.

Читайте так же
Как Отвязать Айфон От Айклауда Пароля... Нередко вопрос о том, как отвязать iCloud от iPhone, задают люди, которые решили реализовать свой профессионализм “яблоко” при покупке нового аппарата или просто сделать приятный подарок какому-то близкому человеку. В общем-то, это не настолько принципиально. Еще важнее знать метод действий, дополнительно уметь использовать основной наб...
Что такое чип Google Soli и как он работает... Google анонсировал Project Soli еще в 2015 году во время сессии на конференции разработчиков I / O. С тех пор подразделение Google ATAP (Advanced Technology and Projects) разрабатывает технологию, которая может использоваться в носимых устройствах, телефонах, компьютерах, автомобилях и устройствах IoT. Это все, что вам нужно знать о чипе Google So...
Как Поставить Пароль На Папку На Айфоне... Каждый год у нас становится всё чем просто счастливых обладателей iPhone. По причине с чем, стремясь защитить свои личные данные от сторонних глаз, юзеры продукта от Apple задаются вопросом что же на самом деле, как на айфоне поставить пароль на приложение либо защитить паролем папку с фото. Методов того, как на айфоне поставить пароль на приложени...

Аль Маавали говорит, что во время настройки кошелька Coinomi, когда пользователи выбирают пароль (фразу-пароль), приложение Coinomi захватывает вводимые пользователем данные в текстовое поле пароля и автоматически отправляет их в службу Google Spellcheck API.

«Чтобы понять, что происходит, я объясню это технически». сказал Аль Маавали. «Основные функциональные возможности Coinomi построены с использованием языка программирования Java. Пользовательский интерфейс разработан с использованием HTML / JavaScript и визуализируется с использованием встроенного браузера на основе Chromium (проект Google с открытым исходным кодом)».

Аль Маавали говорит, что, как и любое другое приложение на основе Chromium, оно интегрировано с различными функциями, ориентированными на Google, такими как функция автоматической проверки орфографии для всех текстовых полей ввода пользователя.

Похоже, проблема заключается в том, что команда Coinomi не удосужилась отключить эту функцию в коде пользовательского интерфейса своего кошелька, что привело к ситуации, когда пароли всех их пользователей просачивались через HTTP во время процесса установки.

Любой, кто в состоянии перехватить веб-трафик из приложения кошелька, сможет увидеть парольную фразу приложения кошелька Coinomi в открытом тексте.

Эта фраза-пароль позволяет злоумышленникам получить доступ к кошельку пользователя (с помощью функции восстановления кошелька) и всем аккаунтам криптовалюты, связанным с этим кошельком. и неявно всем средствам пользователей.

Хотя у Аль-Маавали нет убедительных доказательств того, что именно так хакеры украли его средства, он утверждает, что были украдены только средства, хранящиеся в Coinomi, и поэтому он не видит другого способа получить доступ к этим счетам, кроме получения доступа к его парольной фразе Coinomi. ,

«Любой, кто занимается технологиями и криптовалютой, знает, что [.] 12 случайных английских слов, разделенных пробелами, вероятно, станут парольной фразой к кошельку криптовалюты». сказал Аль Маавали.

Читайте так же
Начните с умного дома на базе Google... Вот как сделать ваш умный динамик Google или умный дисплей центральным умным домом. Google Nest Hub (ранее известный как Google Home Hub (129 на Walmart)) может сделать больше, чем просто показать ваши семейные фотографии. Независимо от того, есть ли у вас Nest Hub, Google Home Mini (49 от Walmart) или любое другое устройство со встроенным Google ...
Забыл Пароль От Apple Id Как Сбросить... Как скинуть пароль Apple ID, если он утерян либо забыт? С последними обновлениями системы iOS у юзеров "яблоковых" телефонов появилась нужная функция, помогающая хранить логины и пароли для разных веб-сайтов и программ, устанавливаемые на устройстве. Что делать, если вы запамятовали пароль от вашего аккаунта? Данная статья посвящена раз...
Как Разблокировать Телефон Мтс Если Забыл Пароль... Как разблокировать андроид, если забыл пароль? 10 способов разблокировать графический ключ Android Что делать, если забыл пароль от телефона? Как разблокировать андроид? Не стоит волноваться, существует несколько способов возобновить доступ к своему мобильному устройству. В этой статье можно найти основные варианты того, сбросить блокировку, как са...

Исследователь создал специальный веб-сайт, где он описал проблему и испытание, через которое он прошел, пытаясь заставить Coinomi признать уязвимость.

Он также опубликовал видео с проверкой концепции, которое позже было независимо проверено и воспроизведено Люком Чайлдсом, исследователем безопасности и коллегой по криптовалюте.

Некоторые люди, похоже, не могут увидеть видео, потому что вместо него показан твит с цитатой, вот видео: pic.twitter.com/x592HW9sEi

Чайлдс не привыкать к проблемам Coinomi. Еще в 2016 году он обнаружил, что Android-приложение Coinomi обменивалось данными со своими внутренними серверами через открытый текст HTTP. Как и в случае с Аль Маавали, Coinomi отказался признать проблему и позже удалил отчет об ошибках Чайлдса после горячего частного обмена, подробно описанного на этой странице.

Coinomi, которая предлагает мульти-криптовалютное приложение для кошельков для Android, iOS, Linux, Mac и Windows, не ответила на запрос комментариев.

Аль Маавали утверждает, что он потерял от 60 000 до 70 000 долларов в различных криптовалютах. Есть также другие сообщения в ветке Coinomi Reddit, где пользователи жалуются на то, что однажды они проснулись и обнаружили, что все их аккаунты, управляемые Coinomi, опустошены за одну ночь [1, 2].

Читайте так же
Google запустила улучшенный поиск песен для всех A... Смартфоны Google Pixel два не Pixel два XL поддерживают распознавание музыки не показывают в кинематографе блокировки название играющих поблизости треков. Не требуя подключения к сети, функция оказалась точнее аудиопоиска в Google Assistant, увы теперь обе бухгалтерской системы работают на один принципу. Смартфоны Google Pixel два не Pixel два XL п...
PS5, Next Xbox Технические характеристики Sony, Mi... PS5 и следующие спецификации Xbox, чтобы конкурировать с Google Stadia? Некоторые надежные источники считают, что так Не многие разработчики были проинформированы о PS5 и следующем Xbox Ходят слухи, что окно запуска 2020 года Они могут противостоять Stadia с точки зрения спецификаций Похоже, что PS5 и следующий Xbox, или Sony и Microsoft решат ...
Как Разблокировать Телефон Иксперия Если Забыл Пар... Как разблокировать Sony пароль, если его забыл (Xperia) Мы можем назвать множество причин для блокировки доступа к телефону Sony. Одна из основных причин – забыли пароль, который вы создали. Хотя маловероятно, чтобы кто-то не забывал свой пароль, это случается довольно часто среди пользователей. Невозможность обойти блокировку экрана раздражает, та...