İddia: Coinomi Cüzdanındaki ‘Kritik Bir Açık’, Özel Anahtarları Açığa Çıkartıyor!

Coinomi kripto para cüzdan uygulaması, 27 Şubat tarihinden itibaren sosyal medya üzerinde sistemsel bir açık iddiası ile gündeme gelmeye başladı.

Warith Al Maawali isimli bir kullanıcının aktardığı bilgilere göre, cüzdan platformundaki kritik bir sistemsel açık, özellikle masaüstü uygulamasını etkilemekte ve kullanıcıların özel cüzdan anahtarlarını direkt olarak Google’nin yazım denetimi uygulamasına düz metin halinde şifrelenmemiş bir şekilde göndermekte.

Al Maawali konu hakkında yaptığı açıklamada Coinomi’nin masaüstü cüzdan uygulamasının kendi cüzdanlarını geri getirmek isteyen kullanıcılar için bir tür metin kutusu uygulamasına sahip olduğunu ifade etti. Bu metin kutusu uygulaması Chromium tarayıcı eklentisini kullanmakta ve temel olarak HTML dosyası olarak işlem vermekte. Kutuya yazılan herhangi bir metin, kullanıcının iddiasına göre, direkt olarak yazım denetimi isteği şeklinde HTTP olarak googleapis.com’a gönderilmekte.

Bu sebeple gönderilen HTTP isteğine erişim sağlayabilen herhangi bir kullanıcı da, metin kutusu içerisinde yazılanları okuyabilmekte ve Al Maawali’nin iddiasına göre bir hacker bu yöntemi kullanarak kendisinin 60 ile 70 bin dolar civarındaki kripto para birimine de erişim sağladı.

Ancak Coinomi yetkilileri konu hakkında Twitter üzerinden bir açıklama yayınlayarak, bunun gerçekleri yansıtmadığını ve Maawali’nin ”şantaj” yapmak istediğini belirtti. Borsa yaptığı detaylı açıklamada anahtar sözcüklerin sade metin şeklinde aktarılmadığını ve bunun yerine Google ile HTTPS isteği şeklinde paylaşıldığını ve Google’nin tek alıcı olduğunu dile getirdi.

Our official statement on the spell-check findings: https://t.co/o7Fmhn2FoI

— coinomi (@CoinomiWallet) 27 Şubat 2019