Coinomi錢包應用以明文形式將用戶錢包恢復密碼發送給Google的拼寫檢查服務，使用戶的帳戶及其資金遭受中間人(MitM)攻擊，在此期間攻擊者可以記錄密碼并隨后接管和清空帳戶。

昨天，在阿曼程序員Warith Al Maawali憤怒地寫信后發現了這個問題，他在調查90%的資金被神秘盜竊時發現了這個問題。

Al Maawali說，在Coinomi錢包恢復過程中，當用戶輸入恢復密碼時，Coinomi應用會在密碼文本框中捕獲用戶的輸入，然后將其靜默發送給Google的Spellcheck API服務。

Al Maawali說：“要了解發生了什么，我將在技術上進行解釋。” “ Coinomi核心功能是使用Java編程語言構建的。用戶界面是使用HTML / JavaScript設計的，并使用了基于集成的Chromium(谷歌的開源項目)的瀏覽器進行渲染。”

Al Maawali說，就像其他任何基于Chromium的應用一樣，它還集成了以Google為中心的各種功能，例如針對所有用戶輸入文本框的自動拼寫檢查功能。

問題似乎是Coinomi團隊沒有費心在錢包的UI代碼中禁用此功能，從而導致了在安裝過程中所有用戶密碼都通過HTTP泄漏的情況。

任何能夠攔截來自錢包應用程序的網絡流量的人都可以看到明文的Coinomi錢包應用程序密碼。

該密碼短語使攻擊者能夠(通過還原錢包功能)訪問用戶的錢包以及與該錢包關聯的所有加密貨幣帳戶-并隱含所有用戶的資金。

雖然Al Maawali沒有確切的證據證明黑客是如何竊取他的資金的，但他聲稱只有Coinomi儲存的資金被盜，因此他認為，除了獲得他的Coinomi密碼外，黑客沒有其他途徑可以訪問這些帳戶。 。

Al Maawali說：“參與技術和加密貨幣的任何人都知道，用空格分隔的12個隨機英語單詞可能是加密貨幣錢包的密碼短語。”

研究人員創建了一個專門的網站，他在其中描述了問題以及他試圖讓Coinomi認可該漏洞所經歷的苦難。

他還發布了概念驗證視頻，該視頻后來由安全研究員Luke Childs和其他加密貨幣狂熱者獨立驗證和復制。

查爾斯對于Coinomi問題并不陌生。早在2016年，他發現Coinomi Android應用正在通過純文本HTTP與后端服務器進行通信。就像在Al Maawali的案子中一樣，Coinomi拒絕承認這個問題，并在激烈的私人交流后刪除了Childs的錯誤報告-詳細內容在本頁上。

Coinomi提供了適用于Android，iOS，Linux，Mac和Windows的多加密貨幣錢包應用程序，但沒有對此發表評論。