2016-2022 All Rights Reserved.平安財經網.復制必究 聯系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標明“本站原創(chuàng)”外所有信息均轉載自互聯網 版權歸原作者所有。
Coinomi錢包應用以明文形式將用戶錢包恢復密碼發(fā)送給Google的拼寫檢查服務,使用戶的帳戶及其資金遭受中間人(MitM)攻擊,在此期間攻擊者可以記錄密碼并隨后接管和清空帳戶。
昨天,在阿曼程序員Warith Al Maawali憤怒地寫信后發(fā)現了這個問題,他在調查90%的資金被神秘盜竊時發(fā)現了這個問題。
Al Maawali說,在Coinomi錢包恢復過程中,當用戶輸入恢復密碼時,Coinomi應用會在密碼文本框中捕獲用戶的輸入,然后將其靜默發(fā)送給Google的Spellcheck API服務。
Al Maawali說:“要了解發(fā)生了什么,我將在技術上進行解釋。” “ Coinomi核心功能是使用Java編程語言構建的。用戶界面是使用HTML / JavaScript設計的,并使用了基于集成的Chromium(谷歌的開源項目)的瀏覽器進行渲染。”
Al Maawali說,就像其他任何基于Chromium的應用一樣,它還集成了以Google為中心的各種功能,例如針對所有用戶輸入文本框的自動拼寫檢查功能。
問題似乎是Coinomi團隊沒有費心在錢包的UI代碼中禁用此功能,從而導致了在安裝過程中所有用戶密碼都通過HTTP泄漏的情況。
任何能夠攔截來自錢包應用程序的網絡流量的人都可以看到明文的Coinomi錢包應用程序密碼。
該密碼短語使攻擊者能夠(通過還原錢包功能)訪問用戶的錢包以及與該錢包關聯的所有加密貨幣帳戶-并隱含所有用戶的資金。
雖然Al Maawali沒有確切的證據證明黑客是如何竊取他的資金的,但他聲稱只有Coinomi儲存的資金被盜,因此他認為,除了獲得他的Coinomi密碼外,黑客沒有其他途徑可以訪問這些帳戶。 。
Al Maawali說:“參與技術和加密貨幣的任何人都知道,用空格分隔的12個隨機英語單詞可能是加密貨幣錢包的密碼短語。”
研究人員創(chuàng)建了一個專門的網站,他在其中描述了問題以及他試圖讓Coinomi認可該漏洞所經歷的苦難。
他還發(fā)布了概念驗證視頻,該視頻后來由安全研究員Luke Childs和其他加密貨幣狂熱者獨立驗證和復制。
查爾斯對于Coinomi問題并不陌生。早在2016年,他發(fā)現Coinomi Android應用正在通過純文本HTTP與后端服務器進行通信。就像在Al Maawali的案子中一樣,Coinomi拒絕承認這個問題,并在激烈的私人交流后刪除了Childs的錯誤報告-詳細內容在本頁上。
Coinomi提供了適用于Android,iOS,Linux,Mac和Windows的多加密貨幣錢包應用程序,但沒有對此發(fā)表評論。
2016-2022 All Rights Reserved.平安財經網.復制必究 聯系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標明“本站原創(chuàng)”外所有信息均轉載自互聯網 版權歸原作者所有。