25 maart 2019
Blockchain Stories
Nieuws

Onveilige functie in de Coinomi wallet?

onveilig is de Coinomi wallet

Wanneer je jouw ‘seed phrase’ invoert om bij je wallet te komen gaat er iets goed mis bij Coinomi. De app stuurt een verzoek naar de spellcheck API van Google om de woorden te controleren op de juiste spellen. Jouw seed phrase, waarmee je toegang krijg tot je wallet, wordt in een normaal tekstbestandje verstuurd. Erg onveilig.

Onveilig

De SSL encryptie is gelukkig nog wel op zijn plek, dus er is nog iets van bescherming voor de gebruikers van de app. Maar dat maakt het geheel niet veel beter. De sleutel die toegang geeft tot jouw cryptocurrency’s staat waarschijnlijk gewoon in een Google database, in een gewoon tesktbestandje. Toegankelijk voor elke werknemer van Google die bij deze databases kan.

Weg bij Coinomi

Dit is erg gevaarlijk. Het is daarom aan te raden om je coins zo snel mogelijk weg te halen van deze applicatie. Hardware wallets of andere open-source wallets zijn aanraders om je cryptovaluta veilig op te slaan. Warith2020, een twitteraar, is de ondekker van dit grote veiligheidslek. Hij zegt zelf voor 70.000 dollar aan cryptovaluta te zijn verloren. Die claim kan op dit moment nog niet worden bevestigd.

In het onderstaande filmpje is het gehele proces duidelijk in beeld gebracht.

Rectificatie: officiële respons

Enkele uren na het publiceren van bovenstaande post kwam het team van Coinomi met een reactie. Zou je deze in het geheel willen lezen, dan is dat hier mogelijk.

TLDR: de seed phrase is niet verstuurd als plain text, maar het blijft altijd bínnen HTTPS-verzoek dat nodig is bij deze actie. Daarnaast werd deze seed phrase enkel verstuurd als je de gebruiker de Desktop-wallet hersteld. Tot slot werden de spellings-checks (die dus via de Google API zijn verzonden) niet verwerkt, gecached of opgeslagen. Het verzoek draait ook telkens uit op een error (code: 400) en het verzoek werd als ‘Bad Request’ weergegeven. Google heeft dus op geen enkele manier toegang gekregen tot de seed phrase.

Het ‘antwoord’ van de Google API

Blijf op de hoogte van de ontwikkelingen rondom bitcoin, altcoins en blockchains. Schrijf je gratis in voor onze nieuwsbrief.

Gerelateerde artikelen

BitConnect stopt met lending en exchange platform

Robin Heester

Prijs bitcoin Iran schoot naar 24.000 dollar

Jordy Schreuder

Aanval op ‘unhackable’ Bitfi hardware wallet geopend

Arnold Hubach
Blijf GRATIS op de hoogte!
Schrijf je in voor onze nieuwsbrief en blijf altijd up-to-date in het wereldje van bitcoin, altcoins en blockchains.