Une probable vulnérabilité montre comment il est facile de se faire voler des bitcoins/ extraction de bitcoin,mineur de bitcoin, prix de bitcoin aujourd'hui
Bitseven.com - Avec les possibilités de gains qu’il est possible de faire en tirant profit des variations à la hausse du bitcoin, les entreprises et les particuliers n’hésitent pas à s’embarquer dans l’aventure en y investissant leurs avoirs dans cette monnaie cryptographique. Coinomi est un portefeuille de cryptomonnaie en ligne destiné à la fois aux mobiles et aux ordinateurs de bureau. Il offre un lieu de stockage, de gestion et d'échange sécurisé de Bitcoin et d'autres monnaies chiffrées. Il compte actuellement plus d'un demi-million de téléchargements sur Google Play Store. Son site web indique qu'il n'a jamais été piraté ni autrement compromis à ce jour, mais une prétendue vulnérabilité découverte met désormais cette affirmation en doute.
Le 22 février dernier, Warith Al Maawali, un consultant en sécurité informatique a contacté le support technique de Coinomi concernant une faille de sécurité dans ses portefeuilles de bureau. En cryptomonnaie, une clé privée est appelée la phrase secrète ou phrase de passe d'un portefeuille d'actifs numériques. Si la clé privée est perdue, elle ne peut pas être récupérée et le fonds qui y est stocké est définitivement perdu. Selon Al Maawali, cette faille compromettait la clé privée de son portefeuille par le fait que le correcteur orthographique intégré de Coinomi vérifiait automatiquement sa phrase secrète.
Cette vérification impliquait d'envoyer sa phrase secrète sous forme de texte brut à un site web de Google, ce qui laisse penser que ce transfert de données aurait donc pu être intercepté. Al Maawali affirme avoir perdu entre 60000 et 70000 dollars. Pour arriver à cette conclusion, le consultant en sécurité informatique a mené ses recherches : dans un premier temps, il a installé et démarré l'application Coinomi et sa première remarque était que la version non signée de l'application possédait une porte dérobée. Il a ensuite effectué une enquête plus poussée et a comparé la version non signée du fichier d'installation avec celle signée. La seule différence est qu’ils (les développeurs de chez Coinomi) ont ajouté une signature numérique au fichier exécutable principal.
Il a donc commencé à reproduire ce qu'il faisait dans une nouvelle machine virtuelle, mais cette fois, il a installé Fiddler, un logiciel qui vous permet de surveiller et de déboguer le trafic HTTP / HTTPS de toutes les applications en cours d'exécution sur votre machine. Puis il a commencé à surveiller le trafic en exécutant Fiddler en arrière-plan, puis il a lancé l'application Coinomi. C'est ainsi qu'il a pu se rendre compte du fait que sa phrase secrète était envoyée sous forme de texte brut au correcteur orthographique de Google. Ce qui permettait à toute personne ayant les compétences nécessaires (les employés de Google n'étant pas exclus) d'intercepter cette phrase secrète.
Coinomi a répondu à ces allégations en indiquant que la fonctionnalité de vérification orthographique était activée pour les portefeuilles de bureau, mais que la phrase secrète n'était pas envoyée en texte brut. D'après Coinomi, la phrase secrète était encapsulée dans une demande HTTPS avec Google comme seul destinataire. Coinomi a ajouté que Google n'a pas traité, mis en cache ou stocké les demandes.
Al Maawali a fait savoir qu'il compte intenter des actions en justice contre la société derrière Coinomi si elle n’agit pas pour assumer ses responsabilités. Il met également en garde les autres utilisateurs sur le fait qu'il soit possible que toutes les versions de l'application de bureau puissent être probablement affectées bien qu'il ne soit pas certain de ce qu'il en est des versions mobiles. Il a même réalisé une vidéo dans laquelle il reproduit les étapes effectuées pour prouver que la vulnérabilité existe.
Il est possible que la vulnérabilité soit réelle, mais certains estiment qu'il n'y a pas suffisamment d'éléments pour affirmer avec certitude qu'elle soit à l'origine de la prétendue disparition des fonds. Mais toute cette histoire aura au moins le mérite d'avoir une fois de plus, fait comprendre aux fournisseurs de portefeuilles de chiffrement, qu'ils doivent penser différemment en matière de sécurité.
BitSEVEN | Echange mercantile de Bitcoin Echangez avec un maximum de 100x de profit
Echangez Bitcoin et autres cryptocurrences avec un maximum de 100x de profit Exécution rapide, frais bas, disponible seulement sur BitSEVEN
prix BTC,Trading de marge de change,Marge de change,Bitcoin Margin,échange de devises
Không có nhận xét nào:
Đăng nhận xét