Cryptovalutaroof dankzij spellingscheck wachtwoorden

De ontdekker van deze beveiligingsblunder, Warith Al Maawali, heeft na zijn valutaverlies en uitzoekwerk een uitgebreide uitleg geschreven en die online gepubliceerd. Dit nadat hij de bug had aangemeld bij Coinomi, die echter niet bepaald ontvankelijk bleek voor zijn melding. Daarbij is de in Oman gebaseerde programmeur volgens hem zelfs beticht van afpersing. De aanbieder van 'jouw vertrouwde blockchain interface' heeft de bug weliswaar gefixt, maar wordt toch actief afgeraden door de getroffen gebruiker.

Standaard Google-functionaliteit

De oorzaak van dit beveiligingslek schuilt in de standaardopzet voor Chromium-apps. Code daarvoor komt default met Google-functionaliteit ingebakken, zoals bijvoorbeeld spellingscontrole voor tekstinvoervelden. In het geval van Coinomi is dit niet uitgeschakeld voor het vak waarin gebruikers een wachtwoord (of wachtzin) invoeren wanneer zij de wallet-app gebruiken. De tekstinvoer wordt dan in clear-text (via een http-verbinding) doorgestuurd naar de Spellcheck API van Google.

Hierdoor is deze invoer van gevoelige data kwetsbaar voor een MitM-aanval (Man-in-the-Middle). Een afluisterende partij kan dan namelijk het ingevoerde wachtwoord onderscheppen en op een moment naar keuze gebruiken om toegang te krijgen tot de virtuele tegoeden van een Coinomi-gebruiker. Overigens weet Al Maawali niet met volledige zekerheid of dit bij hem is gebeurd, maar het is wel de meest logische verklaring voor het verdwijnen van cyrptovaluta ter waarde van zo'n 60.000 tot 70.000 dollar uit zijn digitale wallet.

De door Al Maawali online geplaatste proof-of-concept video is naderhand geverifieerd en gereproduceerd door security-onderzoeker Luke Childs, weet ZDnet te melden. Die cryptovalutakenner heeft in 2016 al ontdekt dat de Android-app van Coinomi via onbeveiligde http-verbindingen communiceerde met de back-end servers van de app-maker. Ook toen is melding hiervan niet in goede orde aangenomen door het bedrijf achter deze wallet-app.