Billetera de criptomonedas verifica contraseñas con el corrector ortográfico de Google

Hacker descubre que la billetera de criptomonedas Coinomi Wallet envía las contraseñas de sus usuarios a la API del corrector ortográfico de Google, via HTTP, en texto plano. El hallazgo fue hecho al investigar el motivo de la desaparición del 90% de sus fondos.

El hecho fue descubierto por el hacker omanés Warith Al Maawali, quien al ser víctima del robo del 90 por ciento de sus fondos en su billetera de criptomonedas, entre USD $60000 y $70000, comenzó a investigar y halló este grave problema.

La aplicación de billetera Coinomi envía las contraseñas de los usuarios al servicio de corrección ortográfica de Google en texto claro, exponiendo las cuentas de los usuarios y sus fondos a ataques Man-in-the-Middle (MitM) con los cuales los atacantes pueden registrar contraseñas y luego vaciar las cuentas.

Durante la configuración de la billetera Coinomi, cuando los usuarios seleccionan una passphrase o frase-contraseña, la aplicación Coinomi captura la entrada del usuario dentro del cuadro de texto y la envía silenciosamente a la API de Google Spellcheck.

Al estar Coinomi basado en Chromium, viene integrada con varias funcionalidades centradas en Google, como la función de corrección ortográfica automática para todos los cuadros de texto de entrada del usuario.

El equipo de Coinomi no tuvo el cuidado de desactivar esa función, lo que lleva a que todas las contraseñas se filtren a través de HTTP durante el proceso de configuración. Esto permite que cualquier persona pueda interceptar el tráfico web de la aplicación de billetera, accediendo a la passphrase de Coinomi en texto plano.

Esta passphrase es la llave que permite el acceso a la billetera y a todas las cuentas de criptomonedas, y por ende, los fondos del usuario, asociadas con esa billetera.

Éste no es el único incidente de Coinomi, en el subreddit dedicado a esta billetera se pueden ver varios posts de usuarios que sufren problemas similares.

En 2016, el hacker Luke Childs descubrió que la aplicación para Android de Coinomi se comunicaba con sus servidores backend vía HTTP, en texto plano.

El mismo Childs compartió el video de Prueba de Concepto (PoC) que Al Maawali publicó recientemente.