Криптокошелек Coinomi отсылал пароли в Google - Новости и Обзоры
интернет-защита
все антивирусы в одном приложении

Криптокошелек Coinomi отсылал пароли в Google

Десктопная версия криптокошелька Coinomi отправляла незашифрованные пароли пользователей в сервис Google для проверки правописания (Google Spellcheck API).

Проблему обнаружил ИБ-специалист из Омана Варит Аль-Маавали (Warith Al Maawali) после того, как с его аккаунта пропало 90% средств (от  тыс. до 70 тыс. в различной криптовалюте). Технический отчет о проблеме Аль-Маавали опубликовал на портале Reddit.

По словам специалиста, сначала он заподозрилналичие бэкдора в коде и, полагая, что дело в отсутствии подписи, связался с разработчиками криптокошелька. Параллельно он продолжил расследование самостоятельно и запустил программу для мониторинга HTTPS-трафика. Выяснилось, что когда пользователь вводит seed-фразу, приложение Coinomi автоматически перенаправляет ее в сервис проверки орфографии в виде простого текста. Так, к паролю могут получить доступ злоумышленники или даже сотрудники Google.

«Основной функционал Coinomi выстроен на базе языка программирования Java. — объясняет Аль-Маавали. — Пользовательский интерфейс использует HTML/JavaScript, а рендеринг осуществляется с помощью встроенного браузера Chromium. Так что поле, в которое вводится парольная фраза, является по сути HTML-файлом, который незамедлительно отправляется на googleapis.com».

Разработчики Coinomi, которые до публикации статьи, по словам Аль-Маавали, не отвечали на его запросы, после ее выхода в тот же день исправили ошибку и изложили свое видение ситуации в блоге компании. Представители компании утверждают, что ошибка не была преднамеренной и связана с неверной настройкой плагина. Они добавили, что приложение используется только в десктопных версиях, и владельцам мобильных устройств подобные сбои не угрожают.

Более того, разработчики отметили, что запросы к Google API не обрабатывались, не кэшировались и не сохранялись, а попадали на страницу 400 (Bad Request). При этом сама парольная фраза передавалась не в текстовом формате, а инкапсулировалась внутри HTTPS-запроса, единственным получателем которого был Google.

Несмотря на то что сотрудники Coinomi признали наличие ошибки, они полагают, что она не могла привести к потере средств. «Никто, кроме Google, не мог прочитать содержимое зашифрованных пакетов, в которых содержались seed-фразы», — отметили разработчики. Представители компании также обвинили Аль-Маавали, который требует вернуть потерянные средства, в вымогательстве. Обе стороны угрожают друг другу судом.

Сообщество Вконткте
обзоры антивирусов и программ безопасности
Комментарии и отзывы
Добавляя комментарий, ознакомьтесь с Правилами сообщества
Система Orphus