Beheer

Security
Bitcoin

Cryptovalutaroof dankzij spellingscheck wachtwoorden

Een wallet-app voor cryptovaluta blijkt wachtwoorden open bloot aan Google's spellingscheck te sturen.

Bitcoin. © Creative Commons Zero. Max Pixel
28 februari 2019

Een wallet-app voor cryptovaluta blijkt wachtwoorden open bloot aan Google's spellingscheck te sturen.

Een bug in de wallet-app Coinomi heeft in ieder geval één gebruiker een roof van zijn cryptovaluta opgeleverd. Een programmeur in Oman zag 90 procent van zijn virtuele valuta verdwijnen en ging op onderzoek uit. Hij heeft ontdekt dat de door hem gebruikte wallet-app ingevoerde wachtwoorden stilletjes en onversleuteld doorstuurt naar de spellchecking-service van Google.

De ontdekker van deze beveiligingsblunder, Warith Al Maawali, heeft na zijn valutaverlies en uitzoekwerk een uitgebreide uitleg geschreven en die online gepubliceerd. Dit nadat hij de bug had aangemeld bij Coinomi, die echter niet bepaald ontvankelijk bleek voor zijn melding. Daarbij is de in Oman gebaseerde programmeur volgens hem zelfs beticht van afpersing. De aanbieder van 'jouw vertrouwde blockchain interface' heeft de bug weliswaar gefixt, maar wordt toch actief afgeraden door de getroffen gebruiker.

Standaard Google-functionaliteit

De oorzaak van dit beveiligingslek schuilt in de standaardopzet voor Chromium-apps. Code daarvoor komt default met Google-functionaliteit ingebakken, zoals bijvoorbeeld spellingscontrole voor tekstinvoervelden. In het geval van Coinomi is dit niet uitgeschakeld voor het vak waarin gebruikers een wachtwoord (of wachtzin) invoeren wanneer zij de wallet-app gebruiken. De tekstinvoer wordt dan in clear-text (via een http-verbinding) doorgestuurd naar de Spellcheck API van Google.

Hierdoor is deze invoer van gevoelige data kwetsbaar voor een MitM-aanval (Man-in-the-Middle). Een afluisterende partij kan dan namelijk het ingevoerde wachtwoord onderscheppen en op een moment naar keuze gebruiken om toegang te krijgen tot de virtuele tegoeden van een Coinomi-gebruiker. Overigens weet Al Maawali niet met volledige zekerheid of dit bij hem is gebeurd, maar het is wel de meest logische verklaring voor het verdwijnen van cyrptovaluta ter waarde van zo'n 60.000 tot 70.000 dollar uit zijn digitale wallet.

De door Al Maawali online geplaatste proof-of-concept video is naderhand geverifieerd en gereproduceerd door security-onderzoeker Luke Childs, weet ZDnet te melden. Die cryptovalutakenner heeft in 2016 al ontdekt dat de Android-app van Coinomi via onbeveiligde http-verbindingen communiceerde met de back-end servers van de app-maker. Ook toen is melding hiervan niet in goede orde aangenomen door het bedrijf achter deze wallet-app.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.