Bitcoin Forum
January 19, 2019, 05:54:05 PM *
News: Latest Bitcoin Core release: 0.17.1 [Torrent]
 
   Home   Help Search Login Register More  
Pages: [1]
  Print  
Author Topic: Coinomi: Vulnerability discovered  (Read 799 times)
Yaunfitda
Sr. Member
****
Offline Offline

Activity: 952
Merit: 257


WPP ENERGY - BACKED ASSET GREEN ENERGY TOKEN


View Profile
September 28, 2017, 11:48:16 PM
 #1

Hello guys,

Looks like someone has found a security flaw on coinomi wallet. So please be careful using it. The person who found it says that it is using non-SSL to broadcast transaction which can be decoded and seen in plain text:

https://www.reddit.com/r/Bitcoin/comments/72lmql/security_warning_coinomi_wallet_transmits_all/


﹏﹏﹋﹌﹌ WPP ENERGY ﹌﹌﹋﹏﹏
≈ WORLD POWER PRODUCTION ≈

██████████████████████
██████████████████████████████
██████████████████████████████████
████████████████████████████████████████
██████████████████████████████████████████
██████████████████████████████████████████████
███████████████████████████████████████████████
██████████████████████████████████████████████████
████████████████████████████████████████████████████
█████████████████████████████████████████████████████
████████████████████████████████████████████████████████
██████████████████████████████████████████████████████████
█████████████████████████████████████████████████████████
███████████████████████████████████████████████████████████
███████████████████████████████████████████████████████████
████████████████████████████████████████████████████████████
████████████████████████████████████████████████████████████
████████████████████████████████████████████████████████████
████████████████████████████████████████████████████████████
████████████████████████████████████████████████████████████
████████████████████████████████████████████████████████████
████████████████████████████████████████████████████████████
██████████████████████████████████████████████████████████
██████████████████████████████████████████████████████████
███████████████████████████████████████████████████████
██████████████████████████████████████████████████████
████████████████████████████████████████████████████
██████████████████████████████████████████████████
████████████████████████████████████████████████
██████████████████████████████████████████████
██████████████████████████████████████████
████████████████████████████████████████
██████████████████████████████████
██████████████████████████████
██████████████████████
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction. Advertise here.
aplistir
Full Member
***
Offline Offline

Activity: 305
Merit: 128



View Profile
September 29, 2017, 10:06:31 AM
 #2

Thanks for the info.

Luckily this wont endanger your private keys, but it does leak all addresses you have in your wallet.

My Address: 121f7zb2U4g9iM4MiJTDhEzqeZGHzq5wLh
HCP
Legendary
*
Offline Offline

Activity: 854
Merit: 1039

<insert witty quote here>


View Profile
September 29, 2017, 11:12:17 AM
 #3

And potentially other information... remember, no SSL means all your communication to the server is in plaintext... anyone along the network path can inspect the data packets and capture the data.

Coinomi haven't exactly done themselves any favours with the way the whole situation has been handled either Undecided

Kemarit
Legendary
*
Offline Offline

Activity: 1148
Merit: 1113


View Profile
September 29, 2017, 12:00:35 PM
 #4

There is also another thread discussing about the said vulnerability:

https://bitcointalk.org/index.php?topic=2215088.0

And I put as much detailed as I can regarding it. Even some members just installed it.

And potentially other information... remember, no SSL means all your communication to the server is in plaintext... anyone along the network path can inspect the data packets and capture the data.

Coinomi haven't exactly done themselves any favours with the way the whole situation has been handled either Undecided

Yes, we don't want our bitcoin address exposed, and just what I have said, we need this to be fix ASAP. Others might take advantage of this situation. I don't like either how they handled this situation. Let see how things develop.

jossiel
Hero Member
*****
Offline Offline

Activity: 1050
Merit: 522



View Profile
October 03, 2017, 02:28:58 PM
 #5

Thanks for the ups I'm not updated with these things though I'm not using them I'm also worried about those people who are using coinomi including my friends.

Reading those comments on reddit, I just noticed why coinomi needs to block the person that decodes and saw this vulnerability.

Why they don't want to disclose this thing to their users? they don't want to disappear thousands of their users.

I don't like either how they handled this situation.

Probably they don't want to be embarrassed. 

.BitDice.               ▄▄███▄▄
           ▄▄██▀▀ ▄ ▀▀██▄▄
      ▄▄█ ▀▀  ▄▄█████▄▄  ▀▀ █▄▄
  ▄▄██▀▀     ▀▀ █████ ▀▀     ▀▀██▄▄
██▀▀ ▄▄██▀      ▀███▀      ▀██▄▄ ▀▀██
██  ████▄▄       ███       ▄▄████  ██
██  █▀▀████▄▄  ▄█████▄  ▄▄████▀▀█  ██
██  ▀     ▀▀▀███████████▀▀▀     ▀  ██
             ███████████
██  ▄     ▄▄▄███████████▄▄▄     ▄  ██
██  █▄▄████▀▀  ▀█████▀  ▀▀████▄▄█  ██
██  ████▀▀       ███       ▀▀████  ██
██▄▄ ▀▀██▄      ▄███▄      ▄██▀▀ ▄▄██
  ▀▀██▄▄     ▄▄ █████ ▄▄     ▄▄██▀▀
      ▀▀█ ▄▄  ▀▀█████▀▀  ▄▄ █▀▀
           ▀▀██▄▄ ▀ ▄▄██▀▀
               ▀▀███▀▀
        ▄▄███████▄▄
     ▄███████████████▄
    ████▀▀       ▀▀████
   ████▀           ▀████
   ████             ████
   ████ ▄▄▄▄▄▄▄▄▄▄▄ ████
▄█████████████████████████▄
██████████▀▀▀▀▀▀▀██████████
████                   ████
████                   ████
████                   ████
████                   ████
████                   ████
████▄                 ▄████
████████▄▄▄     ▄▄▄████████
  ▀▀▀█████████████████▀▀▀
        ▀▀▀█████▀▀▀
▄▄████████████████████████████████▄▄
██████████████████████████████████████
█████                            █████
█████                            █████
█████                            █████
█████                            █████
█████                     ▄▄▄▄▄▄▄▄▄▄
█████                   ▄█▀▀▀▀▀▀▀▀▀▀█▄
█████                   ██          ██
█████                   ██          ██
█████                   ██          ██
██████████████████▀▀███ ██          ██
 ████████████████▄  ▄██ ██          ██
   ▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀ ██          ██
             ██████████ ██          ██
           ▄███████████ ██████▀▀██████
          █████████████  ▀████▄▄████▀
[/]
Yaunfitda
Sr. Member
****
Offline Offline

Activity: 952
Merit: 257


WPP ENERGY - BACKED ASSET GREEN ENERGY TOKEN


View Profile
October 05, 2017, 01:18:02 AM
 #6

It is still unresolved as of today. I'm haven't seen any tweets from them. So its either they totally ignored the issues found or they are fixing it but haven't released it yet because they are testing it. I'm still reluctant to use it until the issue is not solved. Although no reported hacks, there is a possibility that it can happen because its broadcasting in plain text, meaning not secured.

﹏﹏﹋﹌﹌ WPP ENERGY ﹌﹌﹋﹏﹏
≈ WORLD POWER PRODUCTION ≈

██████████████████████
██████████████████████████████
██████████████████████████████████
████████████████████████████████████████
██████████████████████████████████████████
██████████████████████████████████████████████
███████████████████████████████████████████████
██████████████████████████████████████████████████
████████████████████████████████████████████████████
█████████████████████████████████████████████████████
████████████████████████████████████████████████████████
██████████████████████████████████████████████████████████
█████████████████████████████████████████████████████████
███████████████████████████████████████████████████████████
███████████████████████████████████████████████████████████
████████████████████████████████████████████████████████████
████████████████████████████████████████████████████████████
████████████████████████████████████████████████████████████
████████████████████████████████████████████████████████████
████████████████████████████████████████████████████████████
████████████████████████████████████████████████████████████
████████████████████████████████████████████████████████████
██████████████████████████████████████████████████████████
██████████████████████████████████████████████████████████
███████████████████████████████████████████████████████
██████████████████████████████████████████████████████
████████████████████████████████████████████████████
██████████████████████████████████████████████████
████████████████████████████████████████████████
██████████████████████████████████████████████
██████████████████████████████████████████
████████████████████████████████████████
██████████████████████████████████
██████████████████████████████
██████████████████████
pooya87
Legendary
*
Offline Offline

Activity: 1526
Merit: 1345



View Profile
October 05, 2017, 05:37:38 AM
 #7

~ using non-SSL to broadcast transaction which can be decoded and seen in plain text:~

there is absolutely nothing wrong with broadcasting transactions without encryption. in fact i believe no wallet uses any sort of encryption for broadcasting transactions.

this is about everything else that is being communicated, as others said. such as your bitcoin addresses and the block headers you receive from the electrum servers coinomi connects to.

Coinomi
Newbie
*
Offline Offline

Activity: 43
Merit: 0


View Profile WWW
October 05, 2017, 09:34:14 PM
 #8

We put Coinomi to the test and found that connections to the back-end servers are secured with SSL.
jakagintiri
Member
**
Offline Offline

Activity: 364
Merit: 10

https://lyfe.health/


View Profile
October 27, 2017, 04:32:55 PM
 #9

would it be safe? because I do not know.
I am also a user of the coinomi app

Member
  ▬▬[  LYFE.HEALTH  ]▬▬[Wellness Rewards and Gamification]▬  
▌ Platform for healthy lifestyle through blockchain technology ▐
▬▬  PRE - SALE STARTS OCTOBER 2018▬▬| Twitter  | Telegram  | ANN  | Medium  | Reddit   | Facebook| ▬▬
Pages: [1]
  Print  
 
Jump to:  

Bitcointalk.org is not available or authorized for sale. Do not believe any fake listings.
Sponsored by , a Bitcoin-accepting VPN.
Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!