При настройке криптокошелька выбранный пользователем пароль отправляется в сервис проверки орфографии Google.
Криптокошелек Coinomi отправляет seed-фразы пользователей в сервис проверки правописания Google в незашифрованном виде, подвергая риску учетные записи и средства пользователей. В этом на собственном опыте убедился программист Варит аль Маавали, потерявший примерно $60-$70 тыс. в криптовалюте после установки кошелька Coinomi с официального сайта.
«Мой основной кошелек Exodus не поддерживал некоторые активы и я решил переместить их в Coinomi, используя ту же seed-фразу», - написал аль Маавали. Спустя несколько дней он обнаружил, что более 90% активов - биткойны, ETH, токены ERC20, LTC и Bitcoin Cash общей стоимостью до $70 тыс. — были выведены с его Exodus-кошелька на различные адреса. В кошельке остались только те активы, которые не поддерживались Coinomi.
Как показал анализ, при настройке криптокошелька выбранный пользователем пароль (seed-фраза) незаметно отправляется в сервис проверки орфографии Google (как и приложения на базе Chromium, Coinomi поставляется с различными сервисами Google). Судя по всему, разработчики криптокошелька не отключили данную функцию, тем самым предоставив злоумышленникам возможность перехватить исходящий web-трафик приложения и получить доступ к незашифрованным seed-фразам пользователей.
«Я ввел случайную seed-фразу в поле для восстановления кошелька и обнаружил, что в виде незашифрованного текста она была передана на адрес googleapis.com для проверки правописания. Все, кто связан с технологиями и криптовалютами, знают, что 12 случайных английских слов могут являться seed-фразой от криптокошелька. Таким образом, кто-то из команды Google или некто имеющий доступ к HTTP-запросам, передаваемым на googleapis.com, обнаружил кодовую фразу и использовал ее, чтобы украсть $60 тыс. - $70 тыс. в криптовалюте», - написал аль Маавали.
По словам представителей Coinomi, проблема затрагивала только десктопную версию криптокошелька и не касалась владельцев мобильных устройств. Они также утверждают, что запросы к Google API были зашифрованными и некорректными и поэтому не обрабатывались Google. Как отмечается, проблема уже исправлена.
Ладно, не доказали. Но мы работаем над этим