Кошелек Coinomi уязвим: у пользователя похищена криптовалюта на сумму более $60 000

​Кошелек Coinomi отправляет кодовые фразы пользователей в службу проверки орфографии Google в незашифрованном виде, открывая мошенникам доступ к приватной информации и давая возможность завладеть средствами пользователей.​

Об этой проблеме стало известно после гневного поста в Twitter программиста Уорита Аль Маавали, который обнаружил брешь в безопасности, расследуя таинственную кражу 90% своих средств.

Аль Маавали рассказал, что во время настройки кошелька Coinomi, когда пользователи вводят мнемоническую фразу (seed), приложение Coinomi захватывает вводимые пользователем текстовые данные и автоматически отправляет их в службу Google Spellcheck API для проверки правописания в открытом виде.

«Чтобы понять, что происходит, я объясню это технически, — говорит Аль Маавали. — Интерфейс кошелька написан на HTML и JavaScript и визуализируется с помощью встроенного браузера на основе Chromium».

Как и любое другое приложение на основе Chromium, приложение кошелька интегрировано с различными функциями, ориентированными на Google, такими как функция автоматической проверки орфографии для всех текстовых полей ввода пользователя. Похоже, проблема заключается в том, что команда Coinomi не удосужилась отключить эту функцию в коде пользовательского интерфейса своего кошелька, что привело к ситуации, когда бекап-фразы кошельков всех их пользователей просачивались через HTTP во время процесса установки и настройки кошелька.

Любой, кто в состоянии перехватить веб-трафик из приложения кошелька, сможет увидеть seed-фразу приложения кошелька Coinomi в незашифрованном виде. Эта фраза позволяет злоумышленникам получить с помощью функции восстановления доступ ко всем средствам, хранящимся в кошельке пользователя.

Хотя у Аль-Маавали нет убедительных доказательств того, что именно так хакеры получили доступ к его данным, он утверждает, что были украдены только те средства, которые хранились в кошельке Coinomi, и поэтому он не видит другого способа похитить криптовалюту, кроме как через доступ к мнемонической фразе Coinomi.

«Любой, кто занимается технологиями и криптовалютой, знает, что (…) 12 случайных английских слов, разделенных пробелами, вероятно, станут кодовой фразой для криптовалютного кошелька», – сказал Аль Маавали.

Исследователь создал специальный веб-сайт, где он описал проблему и эксперимент, который он провел, пытаясь заставить Coinomi признать уязвимость. Он также опубликовал видео с проверкой своей концепции, которое позже было независимо проверено и воспроизведено Люком Чайлдсом, исследователем безопасности.

Coinomi, которая предлагает мульти-криптовалютное приложение для кошельков для Android, iOS, Linux, Mac и Windows, не ответила на запрос пострадавшего пользователя с предложением компенсировать украденные средства. Однако, обновленная версия приложения появилась уже на следующий день после обращения пользователя.

Аль Маавали утверждает, что он потерял от 60’000 до 70’000 долларов США в различных криптовалютах. Его версия кражи средств подтверждается другими сообщениями в ветке Coinomi на форуме Reddit, где пользователи жалуются на то, что однажды они проснулись и обнаружили, что все их кошельки Coinomi, были опустошены за одну ночь.