加密货币钱包被抓到向Google的拼写检查器发送用户密码

Coinomi钱包应用以明文形式将用户钱包恢复密码发送给Google的拼写检查服务，使用户的帐户及其资金遭受中间人(MitM)攻击，在此期间攻击者可以记录密码并随后接管和清空帐户。

昨天，在阿曼程序员Warith Al Maawali愤怒地写信后发现了这个问题，他在调查90%的资金被神秘盗窃时发现了这个问题。

Al Maawali说，在Coinomi钱包恢复过程中，当用户输入恢复密码时，Coinomi应用会在密码文本框中捕获用户的输入，然后将其静默发送给Google的Spellcheck API服务。

Al Maawali说：“要了解发生了什么，我将在技术上进行解释。” “ Coinomi核心功能是使用Java编程语言构建的。用户界面是使用HTML / JavaScript设计的，并使用了基于集成的Chromium(谷歌的开源项目)的浏览器进行渲染。”

Al Maawali说，就像其他任何基于Chromium的应用一样，它还集成了以Google为中心的各种功能，例如针对所有用户输入文本框的自动拼写检查功能。

问题似乎是Coinomi团队没有费心在钱包的UI代码中禁用此功能，从而导致了在安装过程中所有用户密码都通过HTTP泄漏的情况。

任何能够拦截来自钱包应用程序的网络流量的人都可以看到明文的Coinomi钱包应用程序密码。

该密码短语使攻击者能够(通过还原钱包功能)访问用户的钱包以及与该钱包关联的所有加密货币帐户-并隐含所有用户的资金。

虽然Al Maawali没有确切的证据证明黑客是如何窃取他的资金的，但他声称只有Coinomi储存的资金被盗，因此他认为，除了获得他的Coinomi密码外，黑客没有其他途径可以访问这些帐户。 。

Al Maawali说：“参与技术和加密货币的任何人都知道，用空格分隔的12个随机英语单词可能是加密货币钱包的密码短语。”

研究人员创建了一个专门的网站，他在其中描述了问题以及他试图让Coinomi认可该漏洞所经历的苦难。

他还发布了概念验证视频，该视频后来由安全研究员Luke Childs和其他加密货币狂热者独立验证和复制。

查尔斯对于Coinomi问题并不陌生。早在2016年，他发现Coinomi Android应用正在通过纯文本HTTP与后端服务器进行通信。就像在Al Maawali的案子中一样，Coinomi拒绝承认这个问题，并在激烈的私人交流后删除了Childs的错误报告-详细内容在本页上。

Coinomi提供了适用于Android，iOS，Linux，Mac和Windows的多加密货币钱包应用程序，但没有对此发表评论。