Никто не отрицает, что в Биткоин-кошельках может быть огромное количество векторов для потенциальных хакерских атак. В коде программного обеспечения есть баги, которые не нашли даже злоумышленники. Однако разработчики Coinomi, похоже, допустили больше всего оплошностей благодаря одному из самых нелепых багов.
Как проверить пароль на ошибки
Баг обнаружил один из пользователей после пропажи около 60 тысяч долларов в крипте с одного из своих кошельков. Путём короткого расследования ему удалось обнаружить довольно абсурдный баг. Когда юзер вводит кодовую фразу в поле восстановления кошелька — что и сделал пострадавший — сервис автоматически отправляет её как обычный текст по адресу googleapis.com для проверки правописания.
Этот процесс даже записали на видео.
SECURITY VULNERABILITY@CoinomiWallet sends your plain text seed phrase to Googles remote spellchecker API when you enter it! This is not a joke!
Video attached for proof.
Credit goes to @warith2020 for finding the issue, read more from him here: https://t.co/tCZ0hDPyJ3 pic.twitter.com/hdaPOb84A9
— Luke Childs (@lukechilds) February 27, 2019
Что делает Google API? Просто подчёркивает фразу красным цветом, ведь большинство паролей и не должны соответствовать правилам правописания. Зачем тогда вообще эта функция? По умолчанию она проверяет на ошибки каждое поле в форме авторизации. В любом случае, благодаря такому недоразумению кто-то стал богаче на несколько десятков тысяч долларов.
Команда разработчиков «тихо» пофиксила баг. Впрочем, если ваша кодовая фраза уже где-то «плавает» по серверам Google, рекомендуем тут же перевести свои средства на другой кошелек.
Пользователь, обнаруживший уязвимость получил вознаграждение, однако всё равно не удовлетворён официальным ответом Coinomi. Компания идентифицировала адреса, на которые была отправлена его криптовалюта и добавила их в «чёрный список» — теперь ни одна биржа не будет иметь дело с ними.
I warned people to stay away from @CoinomiWallet last year after I discovered a major privacy issue where they were leaking all users address in plain text as soon as you open the app.https://t.co/a8UNKVICO7https://t.co/pIUY1eFxmjhttps://t.co/92HwU3Etfghttps://t.co/6oLwRSgvSC
— Luke Childs (@lukechilds) February 27, 2019
Напомним, это уже не первый случай, когда Coinomi испытывает серьёзные проблемы с приватностью своих клиентов. В прошлом году кошелек хранил в открытом доступе адреса пользователей, что вызвало бурную реакцию в криптокомьюнити.
ПОДПИСЫВАЙТЕСЬ НА НАШ КАНАЛ В ТЕЛЕГРАМЕ, ЧТОБЫ ВАША КРИПТА ВСЕГДА БЫЛА В БЕЗОПАСНОСТИ.
Два Биткоина
Автор: Дмитрий Кузюк
