加密貨幣錢(qián)包被抓到向Google的拼寫(xiě)檢查器發(fā)送用戶密碼

Coinomi錢(qián)包應(yīng)用以明文形式將用戶錢(qián)包恢復(fù)密碼發(fā)送給Google的拼寫(xiě)檢查服務(wù)，使用戶的帳戶及其資金遭受中間人(MitM)攻擊，在此期間攻擊者可以記錄密碼并隨后接管和清空帳戶。

昨天，在阿曼程序員Warith Al Maawali憤怒地寫(xiě)信后發(fā)現(xiàn)了這個(gè)問(wèn)題，他在調(diào)查90%的資金被神秘盜竊時(shí)發(fā)現(xiàn)了這個(gè)問(wèn)題。

Al Maawali說(shuō)，在Coinomi錢(qián)包恢復(fù)過(guò)程中，當(dāng)用戶輸入恢復(fù)密碼時(shí)，Coinomi應(yīng)用會(huì)在密碼文本框中捕獲用戶的輸入，然后將其靜默發(fā)送給Google的Spellcheck API服務(wù)。

Al Maawali說(shuō)：“要了解發(fā)生了什么，我將在技術(shù)上進(jìn)行解釋。” “ Coinomi核心功能是使用Java編程語(yǔ)言構(gòu)建的。用戶界面是使用HTML / JavaScript設(shè)計(jì)的，并使用了基于集成的Chromium(谷歌的開(kāi)源項(xiàng)目)的瀏覽器進(jìn)行渲染。”

Al Maawali說(shuō)，就像其他任何基于Chromium的應(yīng)用一樣，它還集成了以Google為中心的各種功能，例如針對(duì)所有用戶輸入文本框的自動(dòng)拼寫(xiě)檢查功能。

問(wèn)題似乎是Coinomi團(tuán)隊(duì)沒(méi)有費(fèi)心在錢(qián)包的UI代碼中禁用此功能，從而導(dǎo)致了在安裝過(guò)程中所有用戶密碼都通過(guò)HTTP泄漏的情況。

任何能夠攔截來(lái)自錢(qián)包應(yīng)用程序的網(wǎng)絡(luò)流量的人都可以看到明文的Coinomi錢(qián)包應(yīng)用程序密碼。

該密碼短語(yǔ)使攻擊者能夠(通過(guò)還原錢(qián)包功能)訪問(wèn)用戶的錢(qián)包以及與該錢(qián)包關(guān)聯(lián)的所有加密貨幣帳戶-并隱含所有用戶的資金。

雖然Al Maawali沒(méi)有確切的證據(jù)證明黑客是如何竊取他的資金的，但他聲稱只有Coinomi儲(chǔ)存的資金被盜，因此他認(rèn)為，除了獲得他的Coinomi密碼外，黑客沒(méi)有其他途徑可以訪問(wèn)這些帳戶。 。

Al Maawali說(shuō)：“參與技術(shù)和加密貨幣的任何人都知道，用空格分隔的12個(gè)隨機(jī)英語(yǔ)單詞可能是加密貨幣錢(qián)包的密碼短語(yǔ)。”

研究人員創(chuàng)建了一個(gè)專門(mén)的網(wǎng)站，他在其中描述了問(wèn)題以及他試圖讓Coinomi認(rèn)可該漏洞所經(jīng)歷的苦難。

他還發(fā)布了概念驗(yàn)證視頻，該視頻后來(lái)由安全研究員Luke Childs和其他加密貨幣狂熱者獨(dú)立驗(yàn)證和復(fù)制。

查爾斯對(duì)于Coinomi問(wèn)題并不陌生。早在2016年，他發(fā)現(xiàn)Coinomi Android應(yīng)用正在通過(guò)純文本HTTP與后端服務(wù)器進(jìn)行通信。就像在Al Maawali的案子中一樣，Coinomi拒絕承認(rèn)這個(gè)問(wèn)題，并在激烈的私人交流后刪除了Childs的錯(cuò)誤報(bào)告-詳細(xì)內(nèi)容在本頁(yè)上。

Coinomi提供了適用于Android，iOS，Linux，Mac和Windows的多加密貨幣錢(qián)包應(yīng)用程序，但沒(méi)有對(duì)此發(fā)表評(píng)論。