Ошибка кошелька Coinomi отправляет секретные пароли пользователей в Google Spellcheck API через HTTP в виде открытого текста.

Каталин Чимпану за нулевой день | 27 февраля 2019 года. 17:23 по Гринвичу (09:23 PST) | Тема: Безопасность

Изображение: Варит Аль Маавали

Приложение кошелька Coinomi отправляет пароли пользователей в службу проверки правописания Google в виде открытого текста, подвергая учетные записи пользователей и их средства атакам типа «человек посередине» (MitM), во время которых злоумышленники могут регистрировать пароли и позже очищать учетные записи.

Больше новостей о безопасности

Эта проблема появилась на свет вчера после гневной рецензии оманского программиста Уорита Аль Маавали, который обнаружил ее, расследуя таинственную кражу 90 процентов его средств.

Читайте так же

Китайский поисковик Google эт язуватиме запросы по... Китайский поисковик Google связывать запросы пользователей с номерами их телефоновКороткий срок назад появилась информация, что Google разрабатывает особый поисковик для Китая.Судя по имеющимся данным, он будет поддерживать местные законы, фильтровать контент не, как следует из последних данных, будет связывать запросы к поисковым серверам пользова...
Выпуск Android Q — Как получить обновление G... ANDROID Q выпущен в бета-версии и представляет ряд заслуживающих внимания новых функций для поклонников операционной системы Google. Вот руководство Express.co.uk для загрузки обновления блокбастера. Android Q представляет ряд примечательных новых функций для поклонников операционной системы Google (Изображение: Getty Google) Google представила б...
Как Разблокировать Телефон 5s Если Забыл Пароль... Как разблокировать айфон 5S. Что делать, если вы забыли пароль вашего iPhone Все электронные устройства на сегодняшний день имеют функции, обеспечивающие их безопасность. Например, различные пароли на открытие, графические ключи в виде рисунка, который нужно отобразить, и даже доступ по скану отпечатка пальцев. Айфон тоже имеет все эти функции. С н...

Аль Маавали говорит, что во время настройки кошелька Coinomi, когда пользователи выбирают пароль (фразу-пароль), приложение Coinomi захватывает вводимые пользователем данные в текстовое поле пароля и автоматически отправляет их в службу Google Spellcheck API.

«Чтобы понять, что происходит, я объясню это технически». сказал Аль Маавали. «Основные функциональные возможности Coinomi построены с использованием языка программирования Java. Пользовательский интерфейс разработан с использованием HTML / JavaScript и визуализируется с использованием встроенного браузера на основе Chromium (проект Google с открытым исходным кодом)».

Аль Маавали говорит, что, как и любое другое приложение на основе Chromium, оно интегрировано с различными функциями, ориентированными на Google, такими как функция автоматической проверки орфографии для всех текстовых полей ввода пользователя.

Похоже, проблема заключается в том, что команда Coinomi не удосужилась отключить эту функцию в коде пользовательского интерфейса своего кошелька, что привело к ситуации, когда пароли всех их пользователей просачивались через HTTP во время процесса установки.

Любой, кто в состоянии перехватить веб-трафик из приложения кошелька, сможет увидеть парольную фразу приложения кошелька Coinomi в открытом тексте.

Эта фраза-пароль позволяет злоумышленникам получить доступ к кошельку пользователя (с помощью функции восстановления кошелька) и всем аккаунтам криптовалюты, связанным с этим кошельком. и неявно всем средствам пользователей.

Хотя у Аль-Маавали нет убедительных доказательств того, что именно так хакеры украли его средства, он утверждает, что были украдены только средства, хранящиеся в Coinomi, и поэтому он не видит другого способа получить доступ к этим счетам, кроме получения доступа к его парольной фразе Coinomi. ,

«Любой, кто занимается технологиями и криптовалютой, знает, что [.] 12 случайных английских слов, разделенных пробелами, вероятно, станут парольной фразой к кошельку криптовалюты». сказал Аль Маавали.

Читайте так же

Как Установить Пароль На Роутер Dir 615... Как установить пароль на роутер dir 615 WiFi роутер D-Link DIR-615 предназначен для сотворения домашней либо офисной беспроводной сети. Основное отличие D-Link DIR-615 от других моделей маршрутизаторов компании D-Link заключается в его возможности работать на завышенных скоростях и поддерживать высококачественный уровень сигнала на существенно боль...
Расширение Центра безопасности Google, запущенное&... Расширение Центра безопасности Google, запущенное в Индии, с поддержкой 9 региональных языков Директор по безопасности и безопасности Google Сунита Моханти запустил расширенный Центр безопасности в Индии Особенности Расширение Центра безопасности Google теперь дебютировало в Индии Google India заявляет, что это одноразовое место для обесп...
Компания Google закрыла игровую версию YouTube... Google закрыла игровую версию YouTubeКомпания Google посчитала нужным отказаться от приложения YouTube Gaming. Его возможности теперь интегрированы в основной сервис.Игровой где YouTube доступен куда нужно youtube.com/gaming.YouTube Gaming позволяла Просматривать игровые стримы, общаться в чатах с геймерами не зрителями, в добавок вести живые стрим...

Исследователь создал специальный веб-сайт, где он описал проблему и испытание, через которое он прошел, пытаясь заставить Coinomi признать уязвимость.

Он также опубликовал видео с проверкой концепции, которое позже было независимо проверено и воспроизведено Люком Чайлдсом, исследователем безопасности и коллегой по криптовалюте.

Некоторые люди, похоже, не могут увидеть видео, потому что вместо него показан твит с цитатой, вот видео: pic.twitter.com/x592HW9sEi

Чайлдс не привыкать к проблемам Coinomi. Еще в 2016 году он обнаружил, что Android-приложение Coinomi обменивалось данными со своими внутренними серверами через открытый текст HTTP. Как и в случае с Аль Маавали, Coinomi отказался признать проблему и позже удалил отчет об ошибках Чайлдса после горячего частного обмена, подробно описанного на этой странице.

Coinomi, которая предлагает мульти-криптовалютное приложение для кошельков для Android, iOS, Linux, Mac и Windows, не ответила на запрос комментариев.

Аль Маавали утверждает, что он потерял от 60 000 до 70 000 долларов в различных криптовалютах. Есть также другие сообщения в ветке Coinomi Reddit, где пользователи жалуются на то, что однажды они проснулись и обнаружили, что все их аккаунты, управляемые Coinomi, опустошены за одну ночь [1, 2].

Читайте так же

Google Саид Попросил Сотрудников Удалить Противоре... Google сказал, чтобы попросить сотрудников удалить противоречивые заметки в поисковой системе Китая В своей заявке на подавление напоминания о раскрытии информации о плане запуска цензурированной поисковой системы в Китае, Google отправил электронное письмо сотрудникам, прося их удалить чувствительный документ, сообщает Intercept. В письме, нап...
Google грамматика Google делает проверку грамматик... Сан-Франциско: американский интернет-гигант Google заявил, что его средство проверки грамматики на основе искусственного интеллекта, корпоративные веб-инструменты и сервисы доступны для всех пользователей G Suite, чтобы помочь им улучшить написание. В отличие от стандартной проверки орфографии в Google Docs, Google применяет технологию машинного о...
EBay добавляет Google Pay в свою программу управля... eBay говорит, что добавление Google Pay представляет собой важный шаг в предоставлении своим клиентам большей гибкости в том, как они платят. Натали Гальорди для «Между строк» ​​| 21 марта 2019. 16:43 GMT (09:43 PDT) | Тема: Электронная коммерция В четверг eBay объявил, что он добавляет Google Pay к своему набору вариантов оплаты в рамках перехо...