Sicherheitslücke bei Coinomi entdeckt: Wallet überträgt Seed-Wörter an Google
  • Home  / 
  • Blog  / 
  • News
  •  /  Sicherheitslücke bei Coinomi entdeckt: Wallet überträgt Seed-Wörter an Google

Sicherheitslücke bei Coinomi entdeckt: Wallet überträgt Seed-Wörter an Google

Einem Coinomi-Benutzer ist aufgefallen, dass Coinomi die Geheimwörter direkt an die Google Rechtschreibprüfung in Klartext überträgt. Er scheint auch deswegen einen höheren US-Dollar-Betrag verloren zu haben.

Schickt Coinomi Geheimwörter in Klartext an Google?

Coinomi zählte vor längerer Zeit zu den bekanntesten Multi-Wallet-Lösungen für Android-Endgeräte und wurde seit dem auch für iOS, Windows, MacOSX und Linux entwickelt. Die Lösung ist die einzige, die über 125 Blockchains und 382 Token unterstützt. Wie jetzt bekannt wurde, weist Coinomi allerdings eine schwere Sicherheitslücke auf, bei der die Geheimwörter der Anwender in Klartext an Third-Party-Server geschickt werden.

Das Ganze ist einem Twitter-User namens Warith Al Maawali aufgefallen, der eine größere Menge an Kryptowährungen verloren hat, nachdem er seine Seed in Coinomi eingegeben hat.

“Meine Passphrase wurde kompromiert und mir wurden Kryptowährungen im Wert von 60.000 US-Dollar bis 70.000 US-Dollar gestohlen, und das wegen dem Umgang der Coinomi-Wallet mit meiner Passphrase.”

Die Sicherheitslücke entsteht deswegen, da Geheimwörter der Benutzer als unverschlüsselter Text an eine Rechtschreibprüfung von Google geschickt werden. Durch eine Software, die den HTTP/HTTPS-Verkehr überwacht, ist Maawali darauf aufmerksam geworden.

Anzeige

Um diese Lücke zu bestätigen, stellte er fest, dass alle Benutzer nur einfach einen beliebigen Satz mit einem Rechtschreibfehler in das Textfeld im Formular von Coinomi zur Wiederherstellung einer Wallet eingeben müssen. Daraufhin wird das Wort in einem Satz rot markiert, nachdem es durch die Rechtschreibprüfung von Google markiert wurde.

Luke Childs, ein Sicherheitsexperte veröffentliche auf Twitter ein Video, das zeigt, dass Coinomi tatsächlich die Geheimwörter an Google schickt.

Maawali nimmt an, dass sein Geld von jemanden gestohlen wurde, der entweder Zugang zum Verkehr hat, oder von jemanden direkt bei Google, dem die Seed-Reihenfolge aufgefallen ist. Auch von anderen Coinomi-Benutzern wurde bereits bekannt, dass Gelder verschwunden sind.

Bevor Maawali die Sicherheitslücke veröffentlicht hat, hat er sich laut seiner Aussage mit Coinomi in Verbindung gesetzt. Er hat geschrieben, dass die Wallet ihm nicht vertrauenerweckend erscheint und Coinomi hat ständig nach einem technischen Problem hinter dem Bug gefragt, da sie sich seiner Meinung nach um ihren öffentlichen Ruf Sorgen machten. Auch wurde er immer wieder an die rechtlichen Auswirkungen der Offenlegung dieser Sicherheitslücke erinnert. Dazu sagte er, dass auch seine rechtlichen Auswirkungen seiner Gelder nicht vergessen werden sollten.

Luke Childs ist bei Coinomi schon einmal eine Schwachstelle aufgefallen, bei der die Transaktionen unverschlüsselt direkt an Electrum-Server übertragen wurden. Damals reagierten die Entwickler sehr defensiv und kritisierten Childs mit der Behauptung, er verbreite nur Angst und Unsicherheit.

Maawali riet in der Zwischenzeit allen Coinomi-Benutzern, ihre Gelder so schnell wie möglich zu sichern.

“Für alle, die Coinomi verwenden, stellt sicher, dass ihr euer Guthaben aus dieser Wallet schiebt und ändert eure Passphrase, indem er eine neue Wallet mit einer anderen Anwendung erstellt, andernfalls könnte es euch früher oder später gestohlen werden.”

Für viele Krypto-Community-Mitglieder sollte diese Wallet vermieden werden, da sie kein Open-Source ist und sie deswegen versteckte Sicherheitslücken beinhalten könnte.

Quellenangaben: Cryptoglobe
Bildquelle: Pixabay

Anzeige
Hinterlasse einen Kommentar

Leave a comment: