Кошелек Coinomi использовал Google API для проверки правописания seed-фраз пользователей. Один из клиентов кошелька по этой причине лишился криптовалюты на $70000.
Жи-Ши
В популярном криптокошельке Coinomi обнаружили уязвимость, которая привела к утечке персональных данных и краже криптовалюты. Один из пользователей заметил пропажу криптовалюты с одного из своих кошельков стоимостью около $70 000. Он отследил запросы, которые делало приложение, и выяснил, что кошелек Coinomi проверял правописание seed-фразы с помощью Google API. Это происходило в тот момент, когда юзер вводил кодовую фразу в поле восстановления кошелька. Его seed-фраза отправлялась как обычный текст на googleapis.com для проверки правописания.
По всей видимости, мошенники обнаружили эту уязвимость и смогли найти нужную информацию о seed-фразах на серверах Google.
Пользователи в соцсетях тут же распространили исходное сообщение, в котором расказывалось и даже показывалось на видео, как происходит проверка правописания, и отметили нелепость такого бага.
«Это не шутка!» — написал один из твиттер-юзеров.
SECURITY VULNERABILITY@CoinomiWallet sends your plain text seed phrase to Googles remote spellchecker API when you enter it! This is not a joke!
— Luke Childs (@lukechilds) 27 февраля 2019 г.
Video attached for proof.
Credit goes to @warith2020 for finding the issue, read more from him here: https://t.co/tCZ0hDPyJ3 pic.twitter.com/hdaPOb84A9
Во всем виноваты другие разработчики
В Coinomi подтвердили наличие такого бага и сообщили, что функция проверки орфографии с помощью Google API была включена только для десктопных приложений и не касалась мобильных приложений. Команда Coinomi уточнила, что seed-фраза не передавалась в виде простого текста, а была заключена в https-запрос и отправлялась исключительно в адрес Google. Помимо этого, seed-фраза передавалась только при восстановлении доступа к криптокошельку через десктопное приложение.
«Наши инженеры выяснили причину этой проблемы, которая заключалась не в ошибки нашего исходного кода, а в неправильной конфигурации опций плагина, используемом только в десктопных кошельках. Этот плагин по умолчанию включал функцию проверки орфографии в недавном обновлении и был исправлен командой плагинов jxBrowser всего 6 дней назад. В тот же день с нами связался Варит Аль-Маавали [пользователь, потерявший криптовалюту]. Все версии десктопных приложений были исправлены сразу после того, как мы получили полное описание проблемы», — говорится в сообщении Coinomi.
Coinomi уточнила, что идентифицировала адреса, на которые была отправлена криптовалюта пострадавшего пользователя, и что они были добавлены в «черный список», что затруднит мошенникам ее обмен на биржах.
Coinomi призвали пользователей десктопных приложений обновиться до последней версии, в которую были внесены исправления.