Bitcoin Forum
October 01, 2020, 01:54:45 PM *
News: Latest Bitcoin Core release: 0.20.0 [Torrent]
 
   Home   Help Search Login Register More  
Pages: [1]
  Print  
Author Topic: Une faille sur le wallet Coinomi  (Read 137 times)
kenzawak
Hero Member
*****
Offline Offline

Activity: 658
Merit: 851



View Profile
February 28, 2019, 08:15:36 AM
Merited by Halab (1)
 #1

@Halab, je ne suis pas sur que ce soit le bon endroit pour poster ca donc c'est toi qui vois.

Il y a de ca 48h, un gars a poste sur reddit qu'il avait perdu 70k places sur son wallet Coinomi a cause d'une faille de securite, sa passphrase ayant ete volee sur Google.
Apparemment, il ne s'agirait pas d'un cas isole.
Voici un article du JDC sur le sujet :

https://journalducoin.com/altcoins/faille-wallet-coinomi-plus-peur-que-mal/

"la version ordinateur (desktop) du wallet Coinomi envoyait la phrase secrète (seed) à l’application googleapis.com, pour vérifier l’orthographe des mots.
...
cette situation ne se produisait que lorsqu’un utilisateur rentrait sa phrase secrète pour restaurer un wallet existant (et non en cas de création d’un nouveau wallet). De plus, la faille ne concernait pas les versions mobiles (Android et iOS) du wallet Coinomi.
...
Bien qu’ils (Coinomi) confirment l’existence de la faille, ils signalent d’une part qu’elle a immédiatement été corrigée, et d’autre part qu’elle ne peut pas être à l’origine d’une réelle fuite.
...
En effet, contrairement aux rumeurs sur Reddit dont nous parlions plus haut, la phrase secrète n’était pas transmise en texte clair, mais chiffrée en SSL dans une requête HTTPS, Google étant le seul destinataire.

Ensuite, Coinomi affirme que ces demandes involontaires de vérification orthographique envoyées à l’application Google n’étaient en fait pas réellement traitées ou stockées. Les demandes renvoyaient une erreur « Bad Request » de code 400.
...
Coinomi précise que la faille n’était pas due à un bug dans le code source du wallet, mais à une mise à jour du plug-in Chromium appelé « jxBrowser », qui a activé automatiquement, par défaut, la vérification orthographique Google."
1601560485
Hero Member
*
Offline Offline

Posts: 1601560485

View Profile Personal Message (Offline)

Ignore
1601560485
Reply with quote  #2

1601560485
Report to moderator
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction. Advertise here.
frahir
Full Member
***
Offline Offline

Activity: 230
Merit: 103


View Profile
February 28, 2019, 09:12:04 AM
 #2

En effet, après avoir lu attentivement l'histoire du gars qui s'est fait dérobé son wallet,

https://www.avoid-coinomi.com/

Il explique clairement et techniquement que les reponsables de coinomi auraient parait-il glisser un backdoor dans un de leur logiciel avec peut être une complicité à la clé (à travers l'api Google...) bref la team n'a pas été très clean visiblement et a mis plusieurs jours pour répondre et auraitmmême effacé des messages menaçants envers le type qui s'est fait voler tout son portefeuille !

Pour ma part j'ai déplacé ce que j'avais dans cette application et tout desinstaller car on ne sait jamais..
Saint-loup
Legendary
*
Offline Offline

Activity: 1288
Merit: 1215


C.D.P.E.M


View Profile
February 28, 2019, 03:31:46 PM
 #3

Le gars a ouvert un thread sur le forum, c'est toujours mieux de le signaler n'est-ce pas...   Roll Eyes
https://bitcointalk.org/index.php?topic=5114708.0;all

Effectivement l'histoire a l'air quand même un peu abracadabrantesque, surtout qu'on ne sait même pas si ce log d'erreur existe chez google et si il stocke l'intégralité du contenu des requètes.

.freebitcoin.       ▄▄▄█▀▀██▄▄▄
   ▄▄██████▄▄█  █▀▀█▄▄
  ███  █▀▀███████▄▄██▀
   ▀▀▀██▄▄█  ████▀▀  ▄██
▄███▄▄  ▀▀▀▀▀▀▀  ▄▄██████
██▀▀█████▄     ▄██▀█ ▀▀██
██▄▄███▀▀██   ███▀ ▄▄  ▀█
███████▄▄███ ███▄▄ ▀▀▄  █
██▀▀████████ █████  █▀▄██
 █▄▄████████ █████   ███
  ▀████  ███ ████▄▄███▀
     ▀▀████   ████▀▀
BITCOIN
DICE
EVENT
BETTING
WIN A LAMBO !

.
            ▄▄▄▄▄▄▄▄▄▄███████████▄▄▄▄▄
▄▄▄▄▄██████████████████████████████████▄▄▄▄
▀██████████████████████████████████████████████▄▄▄
▄▄████▄█████▄████████████████████████████▄█████▄████▄▄
▀████████▀▀▀████████████████████████████████▀▀▀██████████▄
  ▀▀▀████▄▄▄███████████████████████████████▄▄▄██████████
       ▀█████▀  ▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀  ▀█████▀▀▀▀▀▀▀▀▀▀
▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
.PLAY NOW.
Saint-loup
Legendary
*
Offline Offline

Activity: 1288
Merit: 1215


C.D.P.E.M


View Profile
February 28, 2019, 03:39:37 PM
 #4

En effet, après avoir lu attentivement l'histoire du gars qui s'est fait dérobé son wallet,

https://www.avoid-coinomi.com/

Il explique clairement et techniquement que les reponsables de coinomi auraient parait-il glisser un backdoor dans un de leur logiciel avec peut être une complicité à la clé (à travers l'api Google...) bref la team n'a pas été très clean visiblement et a mis plusieurs jours pour répondre et auraitmmême effacé des messages menaçants envers le type qui s'est fait voler tout son portefeuille !

Pour ma part j'ai déplacé ce que j'avais dans cette application et tout desinstaller car on ne sait jamais..
Ce n'est pas coinomi qui a créé cette fuite vers google mais un "plugin" utilisé dans le logiciel.
Il faudrait donc qu'ils aient en plus des complices chez le concepteur du plugin, en plus de chez google, ça commence à faire un sacré complot. Je dis pas que c'est impossible hein mais pour l'instant il semble qu'il n'y ait que lui qui ait été hacké alors qu'en plus il s'en était pris à eux sur twitter quelques jours avant le "hack" à propos d'un autre souci relatif à la sécurité (un fichier non signé)... ça fait beaucoup

.freebitcoin.       ▄▄▄█▀▀██▄▄▄
   ▄▄██████▄▄█  █▀▀█▄▄
  ███  █▀▀███████▄▄██▀
   ▀▀▀██▄▄█  ████▀▀  ▄██
▄███▄▄  ▀▀▀▀▀▀▀  ▄▄██████
██▀▀█████▄     ▄██▀█ ▀▀██
██▄▄███▀▀██   ███▀ ▄▄  ▀█
███████▄▄███ ███▄▄ ▀▀▄  █
██▀▀████████ █████  █▀▄██
 █▄▄████████ █████   ███
  ▀████  ███ ████▄▄███▀
     ▀▀████   ████▀▀
BITCOIN
DICE
EVENT
BETTING
WIN A LAMBO !

.
            ▄▄▄▄▄▄▄▄▄▄███████████▄▄▄▄▄
▄▄▄▄▄██████████████████████████████████▄▄▄▄
▀██████████████████████████████████████████████▄▄▄
▄▄████▄█████▄████████████████████████████▄█████▄████▄▄
▀████████▀▀▀████████████████████████████████▀▀▀██████████▄
  ▀▀▀████▄▄▄███████████████████████████████▄▄▄██████████
       ▀█████▀  ▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀  ▀█████▀▀▀▀▀▀▀▀▀▀
▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
.PLAY NOW.
frahir
Full Member
***
Offline Offline

Activity: 230
Merit: 103


View Profile
February 28, 2019, 07:45:06 PM
Merited by Halab (3)
 #5

Je trouve quand même que sur ce coup là coinomi n'a pas été très clair...  avoir des complices chez Google ce n'est pas non plus invraisemblable surtout pour récupérer des wallets qui ont été piégés.. Mais je ne dis pas que c'est le cas forcément . Le mec n'est pas du tout le seul même un développeur assez connu dans le milieu a parlé de bugs et de problème de transparence chez coinomi y a quelques temps déjà ;

https://imnotdead.co.uk/blog/coinomi
galaxiekyl
Legendary
*
Offline Offline

Activity: 1750
Merit: 1087


~we are ledger, we are cryptonimous~


View Profile
March 01, 2019, 03:14:38 PM
 #6

 De tout façon tout les log sont des malwares, si vous n'êtes pas codeur vous n'avez aucune chance de savoir si c'est un log malicieux ou non, mieux vaut sauvegarder ses clés priver en soft et en cold.

frahir
Full Member
***
Offline Offline

Activity: 230
Merit: 103


View Profile
March 01, 2019, 08:08:56 PM
 #7

De tout façon tout les log sont des malwares, si vous n'êtes pas codeur vous n'avez aucune chance de savoir si c'est un log malicieux ou non, mieux vaut sauvegarder ses clés priver en soft et en cold.

100% d'accord  Wink
Pages: [1]
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!