加密貨幣錢包被抓到向Google的拼寫檢查器發(fā)送用戶密碼

Coinomi錢包應(yīng)用以明文形式將用戶錢包恢復(fù)密碼發(fā)送給Google的拼寫檢查服務(wù)，使用戶的帳戶及其資金遭受中間人(MitM)攻擊，在此期間攻擊者可以記錄密碼并隨后接管和清空帳戶。

昨天，在阿曼程序員Warith Al Maawali憤怒地寫信后發(fā)現(xiàn)了這個問題，他在調(diào)查90%的資金被神秘盜竊時發(fā)現(xiàn)了這個問題。

Al Maawali說，在Coinomi錢包恢復(fù)過程中，當用戶輸入恢復(fù)密碼時，Coinomi應(yīng)用會在密碼文本框中捕獲用戶的輸入，然后將其靜默發(fā)送給Google的Spellcheck API服務(wù)。

Al Maawali說：“要了解發(fā)生了什么，我將在技術(shù)上進行解釋。” “ Coinomi核心功能是使用Java編程語言構(gòu)建的。用戶界面是使用HTML / JavaScript設(shè)計的，并使用了基于集成的Chromium(谷歌的開源項目)的瀏覽器進行渲染。”

Al Maawali說，就像其他任何基于Chromium的應(yīng)用一樣，它還集成了以Google為中心的各種功能，例如針對所有用戶輸入文本框的自動拼寫檢查功能。

問題似乎是Coinomi團隊沒有費心在錢包的UI代碼中禁用此功能，從而導(dǎo)致了在安裝過程中所有用戶密碼都通過HTTP泄漏的情況。

任何能夠攔截來自錢包應(yīng)用程序的網(wǎng)絡(luò)流量的人都可以看到明文的Coinomi錢包應(yīng)用程序密碼。

該密碼短語使攻擊者能夠(通過還原錢包功能)訪問用戶的錢包以及與該錢包關(guān)聯(lián)的所有加密貨幣帳戶-并隱含所有用戶的資金。

雖然Al Maawali沒有確切的證據(jù)證明黑客是如何竊取他的資金的，但他聲稱只有Coinomi儲存的資金被盜，因此他認為，除了獲得他的Coinomi密碼外，黑客沒有其他途徑可以訪問這些帳戶。 。

Al Maawali說：“參與技術(shù)和加密貨幣的任何人都知道，用空格分隔的12個隨機英語單詞可能是加密貨幣錢包的密碼短語。”

研究人員創(chuàng)建了一個專門的網(wǎng)站，他在其中描述了問題以及他試圖讓Coinomi認可該漏洞所經(jīng)歷的苦難。

他還發(fā)布了概念驗證視頻，該視頻后來由安全研究員Luke Childs和其他加密貨幣狂熱者獨立驗證和復(fù)制。

查爾斯對于Coinomi問題并不陌生。早在2016年，他發(fā)現(xiàn)Coinomi Android應(yīng)用正在通過純文本HTTP與后端服務(wù)器進行通信。就像在Al Maawali的案子中一樣，Coinomi拒絕承認這個問題，并在激烈的私人交流后刪除了Childs的錯誤報告-詳細內(nèi)容在本頁上。

Coinomi提供了適用于Android，iOS，Linux，Mac和Windows的多加密貨幣錢包應(yīng)用程序，但沒有對此發(fā)表評論。