Κενό ασφαλείας στο Coinomi desktop wallet

Κενό ασφαλείας αποκαλύφθηκε στην desktop έκδοση του Bitcoin-altcoin wallet Coinomi καθώς σύμφωνα με τα όσα γράφουν στο σχετικό blog post τους οι developer υπό συνθήκες τα seed key του πορτοφολιού μπορούσαν να αποσταλούν στους server της google για ορθογραφικό έλεγχο.  Αυτό όμως μπορεί να συμβεί μόνο για όσους επιλέξουν να κάνουν recovery και εκ νέου εισαγωγή των seed key στο Coinomi

Our engineers confirmed that spell-check functionality was indeed enabled for the Desktop wallets only — the mobile apps were not affected by this.

However, unlike what was reported:

• The seed phrase wasn’t being transmitted in plain text, instead it was being encapsulated inside a HTTPS request with Google being the sole recipient

• The seed phrase wasn’t being transmitted at all unless the user chose to explicitly restore their Desktop wallets

• The spell-check requests that were sent over to Google API were not processed, cached or stored and the requests themselves returned an error (code: 400) as they were flagged as “Bad Request”¹ and weren’t processed further by Google²

Οι developer αναφέρουν ότι ακόμα και αυτές οι αποστολές απορρίπτονταν από την Google ως bad request χωρίς όμως να είναι σίγουροι ότι δεν έχουν αποθηκευτεί seed key στους server της Google ακόμα και υπό αυτές τις συνθήκες.