Buy Bitcoins in Singapore now easy and fast

Coinomi Wallet Transmits Frasa Benih Teks Biasa … Untuk Penilai Semula!


Dompet perisian Bitcoin (dan perkakasan) terbuka kepada pelbagai vektor serangan yang membingungkan, kerana … baik, wang. Hacker akan sentiasa cuba mengeksploitasi kelemahan atau mencari pintu belakang. Tetapi dompet Coinomi nampaknya membuat perkara-perkara agak mudah, dengan menghantar benih teks-teks biasa ke Google API untuk semakan ejaan.


Bagaimanakah Anda Eja 'Dibersihkan'?

Bugs menyala selepas pengguna melihat $ 60k -70k cryptocurrency telah hilang setelah memasang dompet . Pengguna telah memasuki frasa laluan untuk dompet lain ke dalam bidang pemulihan, untuk mengalihkan beberapa aset yang tidak disokong. Seminggu kemudian, 90% daripada dana dompet utamanya telah hilang, yang terdiri daripada aset yang disokong Coinami.

Beberapa penyiasatan lanjut, menggunakan perisian untuk memantau lalu lintas http dari aplikasi yang berjalan, mengungkapkan bom itu. Apabila memasuki frasa laluan dalam medan 'Simpan semula Wallet', ia dihantar sebagai teks biasa ke googleapis.com untuk pemeriksaan ejaan. Anda boleh menyaksikan ini dalam video di bawah ini:

Bagaimana Anda Menghuraikan 'WTF'?

Malah, memasukkan mana-mana ayat rawak dengan kesilapan ejaan akan menyebabkan red-underline apabila penyiar ejaan telah menjalankan perniagaannya. Tetapi kenapa di bumi ada dompet yang perlu menghantar benih (atau mana-mana teks lain) ke penyiar ejaan? Spoiler … tidak.

Rupa-rupanya perisian yang digunakan untuk membina dompet Coinami telah memadamkan ejaan sebagai lalai pada mana-mana bidang teks. Walau bagaimanapun, ia adalah mudah untuk menyahdayakan ini, dan tidak dapat dicatatkan bahawa Coinami tidak melakukan ini dengan data sensitif sedemikian.

Juga diperhatikan bahawa benih teks biasa dihantar melalui lapisan soket yang selamat. Ini bermakna ia hanya boleh dilihat oleh seseorang yang mempunyai akses kepada permintaan http yang dihantar ke googleapis.com.

HDYS 'Tinggal Selamat Di Sana'?

Coinami nampaknya 'diam' menyelesaikan masalah itu. Tetapi jika benih anda sudah dipegang dalam teks biasa di pelayan Google di mana-mana, anda mungkin mahu memindahkan duit syiling anda ke dompet yang berlainan.

Pengguna yang dana yang dicuri telah dianugerahkan bug-limpah wang oleh Coinami, tetapi tidak senang dengan tanggapan mereka tentang dananya. Untuk bahagian mereka, Coinami telah mengenal pasti alamat di mana dana masih tidak tersentuh sejak 'insiden'. Alamat-alamat ini telah disenarai hitam, jadi pertukaran tidak akan berurusan dengan mereka, tetapi pengguna menuntut resolusi yang lebih segera.

Ini bukan kali pertama Coinami telah menghadapi masalah privasi utama. Tahun lepas, terdapat masalah di mana dompet telah membocorkan alamat pengguna dalam teks biasa pada pembukaan.

Adakah anda pernah menggunakan Coinomi? Kongsi pengalaman anda di bawah!


Imej ihsan Shutterstock



Source link

Hinterlasse einen Kommentar

avatar
  Subscribe  
Notify of