|
Title: Vorsicht Coinomi Wallet mögliche CRITICAL Vulnerability Post by: nullCoiner on February 27, 2019, 08:49:25 AM Hallo zusammen,
bin gerade über den reddit Artikel gestolpert, in welchem ein User behauptet er habe aufgrund einer kritischen Lücke in der Wallet seine Funds verloren. Was dran ist, weiss ich nicht und will auch keine Panik auslösen, aber man muss solche Vorfälle immer wieder zum Analss nehmen auf die Gefahren von solchen Diensten hinzuweisen. Das Problem hier konkret ist, dass das Passwort bzw. seeds zwecks Rechschreibprüfung im Klartext an google gesendet wurde. Losgelöst von der Schuldzuweisung, ist das Ergebnis, dass die Funds unwiderruflich verloren sind, sofern die geschichte wahr ist. Quote To understand how catastrophic the security issue is, they simply take your crypto-currency wallet’s passphrases/seeds and spell check it by sending it remotely to Google servers in clear plain text! https://avoid-coinomi.com/files/coinomi_screenshot_1.pngQuote Technical Analysis I started going back in time and arranging the events. The only new thing that I did was installing and running Coinomi wallet so my first conclusion was that the unsigned version of the application had a backdoor. I did further investigation and compared both the unsigned version of the setup file and the signed version. The only difference was they added digital signature to the main executable file and the Java file (the main application). At that stage I thought that there is probably something suspicious about the application apart from having their main executable unsigned, so I started replicating what I did in a new virtual machine but this time I installed “Fiddler”. A software that allows you to monitor and debug HTTP/HTTPS traffic of all applications running on your machine. I started monitoring the traffic by running Fiddler in the background and then started Coinomi wallet. The first thing I noticed is that Coinomi application starts downloading dictionary wordlist from the following web address: https://redirector.gvt1.com/edgedl/chrome/dict/en-us-8-0.bdic Then I clicked on restore wallet and pasted a random passphrase and suddenly the screen screamed SURPRISE MOTHER****** (boom puzzle solved!) The WHOLE passphrase in plain-text is sent to googleapis.com a domain name owned by Google! It was sending it as a spelling check function! Here is sample of the screenshot of the HTTP request: https://avoid-coinomi.com/files/coinomi_screenshot_1.png To verify my findings I have uploaded a video for anyone who wants to test and replicate what I did: https://avoid-coinomi.com/files/coinomi_http_traffic_video.mp4 https://www.reddit.com/r/CryptoCurrency/comments/av7gfi/warning_coinomi_wallet_critical_vulnerability/ Title: Re: Vorsicht Coinomi Wallet mögliche CRITICAL Vulnerability Post by: Hilde X on February 27, 2019, 09:59:24 AM Autsch. Ich habe gestern gerade bei CryptoCompare nach einem Wallet gesucht.
Coinomi scheint viel genutzt zu werden, allerdings gibts es von den Sicherheitanforderungen her wesentlich bessere, die dazu noch Open Source sind. Geworben wurde auf der Seite damit, dass sie bisher noch nicht gehakt wurden, obwohl die schon so lange am Start sind. Title: Re: Vorsicht Coinomi Wallet mögliche CRITICAL Vulnerability Post by: mole0815 on February 27, 2019, 10:49:45 AM oh... wenn das mal nicht böse ist :o
da der komplette ablauf nachvollziehbar ist und durch anleitung + video auch nachgestellt werden kann wird es vermutlich stimmen. mal sehen wann es wirklich jemand ausprobiert und dann berichtet. Title: Re: Vorsicht Coinomi Wallet mögliche CRITICAL Vulnerability Post by: nullCoiner on February 27, 2019, 12:04:50 PM und hier weitere Infos zu den Vorwürfen
Quote Coinomi gives a different story. This only affected restoring seeds on desktops, not mobiles, we’re told. Even then, the request to Google api was encrypted and was actually a bad request, never processed by Google at all. The spellcheck is local, Jxbrowsr downloads a local dictionary and checks, says a Coinomi representative who says this is not an official response by Coinomi. They are preparing an official response to be published imminently. This is now patched 3 days ago anyway, we’re told. “Noone else had this issue since the release of desktops on 1.1.2019.” ... Coinomi’s rep says they were contacted on the 22.2.2019. “We tried until yesterday very politely to get a responsible disclosure from that user, and he refused,” we’re told. https://www.trustnodes.com/2019/02/27/alleged-coinomi-crypto-wallet-vulnerability-fixed-says-rep Title: Re: Vorsicht Coinomi Wallet mögliche CRITICAL Vulnerability Post by: bct_ail on February 27, 2019, 01:41:51 PM Warum wird/sollte der seed einer Rechtschreibprüfung unterzogen werden? Was wäre der Sinn dahinter?
Title: Re: Vorsicht Coinomi Wallet mögliche CRITICAL Vulnerability Post by: Souri on February 27, 2019, 02:04:14 PM Warum wird/sollte der seed einer Rechtschreibprüfung unterzogen werden? Was wäre der Sinn dahinter? Das klingt so als wäre das einfach eine Standardfunktion eines SDKs oder Containers deren Funktion einfach nicht entfernt wurde (cock-up before conspiracy) und der sonst zur App Entwicklung ja auch durchaus sinnvoll ist. Von Hand sowas reinzuprogrammieren halte ich für eher unwahrscheinlich.Title: Re: Vorsicht Coinomi Wallet mögliche CRITICAL Vulnerability Post by: yesiam6 on February 27, 2019, 02:10:28 PM Hallo zusammen, bin gerade über den reddit Artikel gestolpert, in welchem ein User behauptet er habe aufgrund einer kritischen Lücke in der Wallet seine Funds verloren. Was dran ist, weiss ich nicht und will auch keine Panik auslösen, aber man muss solche Vorfälle immer wieder zum Analss nehmen auf die Gefahren von solchen Diensten hinzuweisen. Das Problem hier konkret ist, dass das Passwort bzw. seeds zwecks Rechschreibprüfung im Klartext an google gesendet wurde. Losgelöst von der Schuldzuweisung, ist das Ergebnis, dass die Funds unwiderruflich verloren sind, sofern die geschichte wahr ist. Würde das mit den verlorenen Funds dann nicht auf eine Hackattacke deuten? Oder sollte das ganze implizieren dass Google bei den Petabytes an Daten manuell oder automatisch Coinomi Wallets entleert? Title: Re: Vorsicht Coinomi Wallet mögliche CRITICAL Vulnerability Post by: Coiner.de on February 27, 2019, 10:20:16 PM https://medium.com/coinomi/official-statement-on-spell-check-findings-547ca348676b
Ja, klar. Sollte nicht passieren. Die Darstellung von Coinomi ist für mich nachvollziehbar, die des angeblichen Opfers nicht. Title: Re: Vorsicht Coinomi Wallet mögliche CRITICAL Vulnerability Post by: thandie on February 28, 2019, 10:38:38 AM Autsch. Ich habe gestern gerade bei CryptoCompare nach einem Wallet gesucht. Coinomi scheint viel genutzt zu werden, allerdings gibts es von den Sicherheitanforderungen her wesentlich bessere, die dazu noch Open Source sind. Geworben wurde auf der Seite damit, dass sie bisher noch nicht gehakt wurden, obwohl die schon so lange am Start sind. Bisher gab es drei Leute, die derartige Vorfälle öffentlich gemacht hatten. Coinomi's Statement dazu ist aber kein Danke sondern die Unterstellung unverantwortlichen Handelns. Würden sie ihren Code weiter als quelloffen pflegen, wäre das alles nicht nötig und die User hätten auch Vertrauen. Schon alleine deshalb würde ich solche Hinterhof-Services nicht nutzen. |
