Aplikasi wallet Coinomi diketahui mengirimkan kata sandi penggunanya ke layanan spellchecking Google dalam cleartext, mengekspos akun pengguna dan dana mereka untuk serangan man-in-the-middle (MitM) di mana penyerang dapat login menggunakan kata sandi dan kemudian menguras dana pada akun tersebut.

Masalah ini diketahui kemarin setelah programmer yang berbasis di Oman Warith Al Maawalimenemukannya saat menyelidiki pencurian dana 90 persen dari dana yang dimilikinya.

Al Maawali mengatakan bahwa selama melakukan setup dompet Coinomi, ketika pengguna memilih kata sandi (frasa sandi), aplikasi Coinomi mengambil input pengguna di dalam kotak teks frasa sandi dan mengirimkannya ke layanan Spellcheck API Google.

“Untuk memahami apa yang terjadi, saya akan menjelaskannya secara teknis,” kata Al Maawali. “Fungsionalitas inti Coinomi dibangun menggunakan bahasa pemrograman Java. Interface pengguna dirancang menggunakan HTML / JavaScript dan dirender menggunakan browser berbasis Chromium (proyek open-source Google) terintegrasi.” Al Maawali mengatakan bahwa sama seperti aplikasi berbasis Chromium lainnya, ia terintegrasi dengan berbagai fitur yang berpusat pada Google, seperti fitur spellcheck otomatis untuk semua input kotak teks pengguna.

Masalahnya tim Coinomi tidak menonaktifkan fitur ini dalam kode UI dompet mereka, yang mengarah ke situasi di mana semua kata sandi pengguna mereka bocor melalui HTTP selama proses pengaturan/setup.

Siapa pun yang berada dalam posisi untuk mencegat atau melakukan intercept pada lalu lintas web dari aplikasi dompet tersebut akan dapat melihat passphrase aplikasi Coinomi di cleartext.
Passphrase ini memungkinkan penyerang mendapatkan akses ke dompet pengguna (melalui fungsi restore wallet) dan semua akun cryptocurrency yang terkait dengan dompet itu – secara implisit semua dana pengguna dapat di akses.

Al Maawali tidak memiliki bukti kuat bahwa kasus ini merupakan salah satu cara peretas untuk mencuri dana, ia mengklaim bahwa hanya dana yang disimpan di Coinomi saja yang dicuri, jadi ia melihat tidak ada cara lain peretas dapat memperoleh akses ke akun tersebut selain mendapatkan akses ke passphrase Coinomi-nya.

“Siapa pun yang terlibat dalam teknologi dan cryptocurrency tahu bahwa […] 12 kata bahasa Inggris acak yang dipisahkan oleh spasi akan menjadi passphrase ke wallet cryptocurrency,” kata Al Maawali.
Salah seorang peneliti, menggambarkan masalah tersebut dan melakukan berbagai upaya untuk menjauhi Coinomi di sebuah situs web dengan tujuan Coinomi akan mengetahui dan mengakui kerentanan wallet nya tersebut.

Dia juga memposting sebuah proof-of-concept videoyang kemudian diverifikasi secara independen dan direproduksi oleh Luke Childs, seorang peneliti keamanan, dan sesama penggemar cryptocurrency.

Childs tidak asing dengan masalah Coinomi. Kembali pada tahun 2016, ia menemukan bahwa aplikasi Android Coinomi berkomunikasi dengan server backend melalui HTTP plaintext. Sama seperti dalam kasus Al Maawali, Coinomi menolak untuk mengakui masalah ini dan kemudian menghapus laporan bug Childs. Coinomi, yang menawarkan aplikasi dompet multi-cryptocurrency untuk Android, iOS, Linux, Mac, dan Windows, tidak menanggapi permintaan komentar untuk saat ini.

Al Maawali mengklaim dia kehilangan dana sekitar $ 60.000 hingga $ 70.000 dalam bentuk cryptocurrency. Ada juga laporan lain mengenai masalah Coinomi di Reddit (1, 2), di mana pengguna mengeluh mengenai dananya yang hilang.