ИБ-специалист из Омана нашел баг в приложении криптовалютного кошелька Coinomi. Исследователь пытался разобраться, кто и каким образом похитил 90% средств с его аккаунта (около 70 000 долларов в различной криптовалюте), когда с удивлением обнаружил, что Coinomi отправляет парольные фразы пользователей на проверку правописания, обращаясь к Google Spellcheck API посредством HTTP, в виде простого текста.

«Я объясню, что происходит с технической точки зрения. Основная функциональность Coinomi написана на языке программирования Java. Пользовательский интерфейс использует HTML/JavaScript и рендеринг осуществляется при помощи встроенного Chromium-браузера», —рассказывает пострадавший исследователь.

Как и во множество других построенных с использованием Chromium приложений, в Coinomi оказались интегрированы различные связанные с Google функции, включая автоматическую проверку правописания для всех полей ввода текста. Очевидно, разработчики Coinomi забыли или не сочли нужным отключить эту функциональность для UI кошелька, из-за чего парольные фразы пользователей оказались под угрозой компрометации.

В итоге любой MitM-атакующий (или даже сотрудник Google) мог перехватить парольную фразу в формате простого текста, а затем получить доступ к кошельку жертвы и похитить средства.

Хотя пострадавший ИБ-специалист не нашел явных свидетельств того, что именно через эту брешь неизвестные похитили его криптовалюту, он уверяет, что средства пропали только с кошелька Coinomi, и узнать его парольную фразу каким-либо другим образом злоумышленники не могли. Раздосадованный специалист создал сайт, посвященный проблеме, где призвал других пользователей избегать Coinomi и рассказал о своих попытках сообщить о баге разработчикам кошелька (пока безрезультатных). Вскоре издание Trustnodes сообщило, что разработчики вышли с ним на связь и заверили, что баг уже исправлен и присутствовал только в десктопной версии кошелька.

Кроме того, исследователь опубликовал PoC-видео с демонстрацией бага, подлинность которого (и самой проблемы) уже подтвердил ИБ-эксперт в области криптовалют Люк Чайлдс (Luke Childs), также сумевший воспроизвести баг.

У себя в Twitter Чайлдс рассказал, что не впервые сталкивается с проблемами безопасности у Coinomi. Еще в 2016 году он обнаружил, что Android-версия кошелька сообщается со своими бэкэнд-серверами посредством HTTP, открытым текстом. Тогда разработчики Coinomi отказались признать эту проблему, а позже и вовсе удалили баг репорт Чайлдса.

Оставить мнение