Overslaan en naar de inhoud gaan

Cryptovalutaroof dankzij spellingscheck wachtwoorden

Een bug in de wallet-app Coinomi heeft in ieder geval één gebruiker een roof van zijn cryptovaluta opgeleverd. Een programmeur in Oman zag 90 procent van zijn virtuele valuta verdwijnen en ging op onderzoek uit. Hij heeft ontdekt dat de door hem gebruikte wallet-app ingevoerde wachtwoorden stilletjes en onversleuteld doorstuurt naar de spellchecking-service van Google.
© Creative Commons Zero.
Creative Commons Zero.

De ontdekker van deze beveiligingsblunder, Warith Al Maawali, heeft na zijn valutaverlies en uitzoekwerk een uitgebreide uitleg geschreven en die online gepubliceerd. Dit nadat hij de bug had aangemeld bij Coinomi, die echter niet bepaald ontvankelijk bleek voor zijn melding. Daarbij is de in Oman gebaseerde programmeur volgens hem zelfs beticht van afpersing. De aanbieder van 'jouw vertrouwde blockchain interface' heeft de bug weliswaar gefixt, maar wordt toch actief afgeraden door de getroffen gebruiker.

Standaard Google-functionaliteit

De oorzaak van dit beveiligingslek schuilt in de standaardopzet voor Chromium-apps. Code daarvoor komt default met Google-functionaliteit ingebakken, zoals bijvoorbeeld spellingscontrole voor tekstinvoervelden. In het geval van Coinomi is dit niet uitgeschakeld voor het vak waarin gebruikers een wachtwoord (of wachtzin) invoeren wanneer zij de wallet-app gebruiken. De tekstinvoer wordt dan in clear-text (via een http-verbinding) doorgestuurd naar de Spellcheck API van Google.

Hierdoor is deze invoer van gevoelige data kwetsbaar voor een MitM-aanval (Man-in-the-Middle). Een afluisterende partij kan dan namelijk het ingevoerde wachtwoord onderscheppen en op een moment naar keuze gebruiken om toegang te krijgen tot de virtuele tegoeden van een Coinomi-gebruiker. Overigens weet Al Maawali niet met volledige zekerheid of dit bij hem is gebeurd, maar het is wel de meest logische verklaring voor het verdwijnen van cyrptovaluta ter waarde van zo'n 60.000 tot 70.000 dollar uit zijn digitale wallet.

De door Al Maawali online geplaatste proof-of-concept video is naderhand geverifieerd en gereproduceerd door security-onderzoeker Luke Childs, weet ZDnet te melden. Die cryptovalutakenner heeft in 2016 al ontdekt dat de Android-app van Coinomi via onbeveiligde http-verbindingen communiceerde met de back-end servers van de app-maker. Ook toen is melding hiervan niet in goede orde aangenomen door het bedrijf achter deze wallet-app.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in