2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
Coinomi錢包應(yīng)用以明文形式將用戶錢包恢復(fù)密碼發(fā)送給Google的拼寫(xiě)檢查服務(wù),使用戶的帳戶及其資金遭受中間人(MitM)攻擊,在此期間攻擊者可以記錄密碼并隨后接管和清空帳戶。
昨天,在阿曼程序員Warith Al Maawali憤怒地寫(xiě)信后發(fā)現(xiàn)了這個(gè)問(wèn)題,他在調(diào)查90%的資金被神秘盜竊時(shí)發(fā)現(xiàn)了這個(gè)問(wèn)題。
Al Maawali說(shuō),在Coinomi錢包恢復(fù)過(guò)程中,當(dāng)用戶輸入恢復(fù)密碼時(shí),Coinomi應(yīng)用會(huì)在密碼文本框中捕獲用戶的輸入,然后將其靜默發(fā)送給Google的Spellcheck API服務(wù)。
Al Maawali說(shuō):“要了解發(fā)生了什么,我將在技術(shù)上進(jìn)行解釋。” “ Coinomi核心功能是使用Java編程語(yǔ)言構(gòu)建的。用戶界面是使用HTML / JavaScript設(shè)計(jì)的,并使用了基于集成的Chromium(谷歌的開(kāi)源項(xiàng)目)的瀏覽器進(jìn)行渲染。”
Al Maawali說(shuō),就像其他任何基于Chromium的應(yīng)用一樣,它還集成了以Google為中心的各種功能,例如針對(duì)所有用戶輸入文本框的自動(dòng)拼寫(xiě)檢查功能。
問(wèn)題似乎是Coinomi團(tuán)隊(duì)沒(méi)有費(fèi)心在錢包的UI代碼中禁用此功能,從而導(dǎo)致了在安裝過(guò)程中所有用戶密碼都通過(guò)HTTP泄漏的情況。
任何能夠攔截來(lái)自錢包應(yīng)用程序的網(wǎng)絡(luò)流量的人都可以看到明文的Coinomi錢包應(yīng)用程序密碼。
該密碼短語(yǔ)使攻擊者能夠(通過(guò)還原錢包功能)訪問(wèn)用戶的錢包以及與該錢包關(guān)聯(lián)的所有加密貨幣帳戶-并隱含所有用戶的資金。
雖然Al Maawali沒(méi)有確切的證據(jù)證明黑客是如何竊取他的資金的,但他聲稱只有Coinomi儲(chǔ)存的資金被盜,因此他認(rèn)為,除了獲得他的Coinomi密碼外,黑客沒(méi)有其他途徑可以訪問(wèn)這些帳戶。 。
Al Maawali說(shuō):“參與技術(shù)和加密貨幣的任何人都知道,用空格分隔的12個(gè)隨機(jī)英語(yǔ)單詞可能是加密貨幣錢包的密碼短語(yǔ)。”
研究人員創(chuàng)建了一個(gè)專門的網(wǎng)站,他在其中描述了問(wèn)題以及他試圖讓Coinomi認(rèn)可該漏洞所經(jīng)歷的苦難。
他還發(fā)布了概念驗(yàn)證視頻,該視頻后來(lái)由安全研究員Luke Childs和其他加密貨幣狂熱者獨(dú)立驗(yàn)證和復(fù)制。
查爾斯對(duì)于Coinomi問(wèn)題并不陌生。早在2016年,他發(fā)現(xiàn)Coinomi Android應(yīng)用正在通過(guò)純文本HTTP與后端服務(wù)器進(jìn)行通信。就像在Al Maawali的案子中一樣,Coinomi拒絕承認(rèn)這個(gè)問(wèn)題,并在激烈的私人交流后刪除了Childs的錯(cuò)誤報(bào)告-詳細(xì)內(nèi)容在本頁(yè)上。
Coinomi提供了適用于Android,iOS,Linux,Mac和Windows的多加密貨幣錢包應(yīng)用程序,但沒(méi)有對(duì)此發(fā)表評(píng)論。
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。