摘要:​​據 cryptoglobe.com 報道,多資產加密貨幣錢包 Coinomi 有一個重要的安全漏洞,安全研究人員稱,它會將用戶的種子短語以純文本形式發送給第三方服務器。

據 cryptoglobe.com 報道,多資產加密貨幣錢包 Coinomi 有一個重要的 安全 漏洞,安全研究人員稱,它會將用戶的種子短語以純文本形式發送給第三方服務器。

最初發現漏洞的 Twitter 用戶 Warith Al Maawali 聲稱,他在將恢復短語添加到 Coinomi 之後失去了大量加密貨幣,之後他發現了這個漏洞。他稱,

“由於 Coinomi 錢包以及其處理我密碼的方式,我的密碼遭到破壞,價值 6 萬至 7 萬美元的加密貨幣被盜。”

該漏洞是加密貨幣錢包通過拼寫檢查功能將用戶的種子短語作爲非加密純文本發送給 Google 用於監視和調試應用程序 HTTP/HTTPS 流量的軟件,Maawali 發現了有關該活動的信息。

在推特上,安全研究員 Luke Childs 發佈了一段視頻,顯示 Coinomi 確實將其用戶的種子短語發送給谷歌,並稱:

“Coinomi 錢包在您輸入時將您的純文本種子短語發送給 Googles 遠程拼寫檢查程序 API!這不是一個玩笑!”

Maawali 認爲他的資金被有權訪問該信息流的人竊取,或者被 Google 注意到種子短語的人竊取。研究人員補充說,還有其他 Coinomi 錢包用戶報告說他們的資金消失了。

在將此漏洞公之於衆之前,Maawali 聲稱已經聯繫了 Coinomi 進行解釋。按照他的說法,錢包背後的團隊“沒有表現出任何負責任的行爲,他們一直在問我這個錯誤背後的技術問題,因爲他們擔心他們的公衆形象和聲譽。”

Maawali 聲稱 Coinomi“不斷提醒”他以一種威脅的方式披露漏洞的“法律影響”。他指出,他們不應該忘記他消失的資金的法律影響。

Luke Childs 過去曾經披露過 Coinomi 的漏洞。該漏洞在未使用標準安全技術的情況下將其未加密的用戶交易傳輸到 Electrum 服務器。當時,開發商在防禦性方面作出反應,批評 Childs 傳播了恐懼、不確定和懷疑。

Maawali 建議使用 Coinomi 錢包的人儘快提取資金,

“對於使用 Coinomi 錢包的每個人,請確保從錢包中移除您的資金並使用其他應用程序創建新的錢包來更改您的密碼,否則您的資金可能遲早會被盜。”

數據顯示 Coinomi 錢包不是開源的,這意味着其代碼不向公衆開放。加密社區中的一些人認爲應該避免使用這些錢包,因爲它們可能包含隱藏的安全漏洞。

作者 Liang CHE

本文來自比推,轉載需註明出處。

更新日期 : 2019-02-27 20:23:36
文章標籤 : coinomi,安全
文章鏈接 : 用戶稱加密錢包 Coinomi 向第三方發送種子短語 [複製鏈接]
站方聲明 : 比推財經所有文章都只代表作者觀點,不構成投資建議。投資有風險,後果自負。

來源鏈接:www.bitpush.news