Ошибка кошелька Coinomi отправляет секретные пароли пользователей в Google Spellcheck API через HTTP в виде открытого текста.

Каталин Чимпану за нулевой день | 27 февраля 2019 года. 17:23 по Гринвичу (09:23 PST) | Тема: Безопасность

Изображение: Варит Аль Маавали

Приложение кошелька Coinomi отправляет пароли пользователей в службу проверки правописания Google в виде открытого текста, подвергая учетные записи пользователей и их средства атакам типа «человек посередине» (MitM), во время которых злоумышленники могут регистрировать пароли и позже очищать учетные записи.

Больше новостей о безопасности

Эта проблема появилась на свет вчера после гневной рецензии оманского программиста Уорита Аль Маавали, который обнаружил ее, расследуя таинственную кражу 90 процентов его средств.

Читайте так же

Сколько Раз Вводить Пароль На Айфоне... Понимаете тех людей, которые берут в руки ваш iPhone и начинают пробовать подобрать пароль. Попытка за попыткой и друга останавливает iOS, которая гласит об выключении устройства на 1 минутку. После чего человек обычно дает телефон и всё отлично завершается. Однако наверное вас всегда истязал вопрос, и же будет, если почти всегда ввести не тот паро...
Как Сбросить Пароль На Айпаде Если Забыл... Восстанавливаем пароль на iPad К сожалению, память человека несовершенна, и к тому же достаточно мало изучена наукой. Потому человек порой забывает даже достаточно простые вещи. Ситуация, в которой пользователь забыл пароль на iPad, относится как раз относится к таким, так как сам пароль представляет из себя цифровой код, который при постоянном ис...
Как Сбросить Пароль На Айфоне Без Компьютера... Как на "Айфоне" сбросить все настройки без пароля? Многие люди пользуются смартфонами под названием "Айфон". Эта продукция Apple завоевала сердца абонентов. Многофункциональный смартфон радует своей работой и возможностями. Иногда приходится задумываться над тем, как на "Айфоне" сбросить все настройки. Что для этого по...

Аль Маавали говорит, что во время настройки кошелька Coinomi, когда пользователи выбирают пароль (фразу-пароль), приложение Coinomi захватывает вводимые пользователем данные в текстовое поле пароля и автоматически отправляет их в службу Google Spellcheck API.

«Чтобы понять, что происходит, я объясню это технически». сказал Аль Маавали. «Основные функциональные возможности Coinomi построены с использованием языка программирования Java. Пользовательский интерфейс разработан с использованием HTML / JavaScript и визуализируется с использованием встроенного браузера на основе Chromium (проект Google с открытым исходным кодом)».

Аль Маавали говорит, что, как и любое другое приложение на основе Chromium, оно интегрировано с различными функциями, ориентированными на Google, такими как функция автоматической проверки орфографии для всех текстовых полей ввода пользователя.

Похоже, проблема заключается в том, что команда Coinomi не удосужилась отключить эту функцию в коде пользовательского интерфейса своего кошелька, что привело к ситуации, когда пароли всех их пользователей просачивались через HTTP во время процесса установки.

Любой, кто в состоянии перехватить веб-трафик из приложения кошелька, сможет увидеть парольную фразу приложения кошелька Coinomi в открытом тексте.

Эта фраза-пароль позволяет злоумышленникам получить доступ к кошельку пользователя (с помощью функции восстановления кошелька) и всем аккаунтам криптовалюты, связанным с этим кошельком. и неявно всем средствам пользователей.

Хотя у Аль-Маавали нет убедительных доказательств того, что именно так хакеры украли его средства, он утверждает, что были украдены только средства, хранящиеся в Coinomi, и поэтому он не видит другого способа получить доступ к этим счетам, кроме получения доступа к его парольной фразе Coinomi. ,

«Любой, кто занимается технологиями и криптовалютой, знает, что [.] 12 случайных английских слов, разделенных пробелами, вероятно, станут парольной фразой к кошельку криптовалюты». сказал Аль Маавали.

Читайте так же

Как Восстановить Айфон 5 Если Забыл Пароль... CandyGeek.ru Немного из IT и интернета Главная / Apple / Забыл пароль на iPhone: инструкция по решению проблемы Забыл пароль на iPhone: инструкция по решению проблемы Многие пользователи устройств торговой марки Apple предпочитают обеспечить своему гаджету и содержащейся в нем информации дополнительную защиту, устанавливая на экран блокировк...
Менеджеры паролей имеют недостатки безопасности, н... Новое исследование выявило недостатки безопасности в пяти самых популярных менеджерах паролей. Теперь несколько противоречивых советов: я все еще думаю, что вы должны использовать менеджер паролей. Так же поступают этические хакеры с независимыми оценщиками безопасности, которые пришли ко мне с новостями о недостатках. и других профессионалов в...
Как Разблокировать Телефон Иксперия Если Забыл Пар... Как разблокировать Sony пароль, если его забыл (Xperia) Мы можем назвать множество причин для блокировки доступа к телефону Sony. Одна из основных причин – забыли пароль, который вы создали. Хотя маловероятно, чтобы кто-то не забывал свой пароль, это случается довольно часто среди пользователей. Невозможность обойти блокировку экрана раздражает, та...

Исследователь создал специальный веб-сайт, где он описал проблему и испытание, через которое он прошел, пытаясь заставить Coinomi признать уязвимость.

Он также опубликовал видео с проверкой концепции, которое позже было независимо проверено и воспроизведено Люком Чайлдсом, исследователем безопасности и коллегой по криптовалюте.

Некоторые люди, похоже, не могут увидеть видео, потому что вместо него показан твит с цитатой, вот видео: pic.twitter.com/x592HW9sEi

Чайлдс не привыкать к проблемам Coinomi. Еще в 2016 году он обнаружил, что Android-приложение Coinomi обменивалось данными со своими внутренними серверами через открытый текст HTTP. Как и в случае с Аль Маавали, Coinomi отказался признать проблему и позже удалил отчет об ошибках Чайлдса после горячего частного обмена, подробно описанного на этой странице.

Coinomi, которая предлагает мульти-криптовалютное приложение для кошельков для Android, iOS, Linux, Mac и Windows, не ответила на запрос комментариев.

Аль Маавали утверждает, что он потерял от 60 000 до 70 000 долларов в различных криптовалютах. Есть также другие сообщения в ветке Coinomi Reddit, где пользователи жалуются на то, что однажды они проснулись и обнаружили, что все их аккаунты, управляемые Coinomi, опустошены за одну ночь [1, 2].

Читайте так же

Iphone Требует Ввода Код Пароля После Перезагрузки... Appls.Me Портал о продуктах Apple Что делать если iPad после перезагрузки просит пароль, а вы его запамятовали? Техника Apple славится размеренной работой благодаря обмысленной и надежной системе iOS. Но ничего безупречного нет, и кроме того эта платформа своим сбоем ставит юзера в очень неловкое положение, к примеру, заблокировать доступ к аксессу...
Как Разблокировать Телефон Люмия Если Забыл Пароль... Что делать если забыл пароль на Nokia Lumia? Наверное, каждый из нас, пытаясь защитить личную информацию, придумывал сверхсложной пароль, который потом благополучно забывался. В этой статье мы расскажем вам что делать если забыт пароль Nokia Lumia. Забыт пароль учетной записи Если вы забыли пароль от учетной записи Nokia Lumia (учётка Microsoft) ,...
Как Разблокировать Телефон Если Забыл Пароль Цифра... Как разблокировать телефон? Каждый день тысячи человек пользуются средствами сотовой связи, сейчас трудно представить себе жизнь без мобильного телефона. Безусловно, каждый пользователь такой технологии старается обезопасить данные, сохраняемые в телефоне, тем самым устанавливая пароли и коды. Случается так, что по каким то причинам пользователь з...