Author

Topic: Une faille sur le wallet Coinomi (Read 176 times)

full member
Activity: 225
Merit: 103
March 01, 2019, 04:08:56 PM
#7
De tout façon tout les log sont des malwares, si vous n'êtes pas codeur vous n'avez aucune chance de savoir si c'est un log malicieux ou non, mieux vaut sauvegarder ses clés priver en soft et en cold.

100% d'accord  Wink
legendary
Activity: 2002
Merit: 1113
March 01, 2019, 11:14:38 AM
#6
 De tout façon tout les log sont des malwares, si vous n'êtes pas codeur vous n'avez aucune chance de savoir si c'est un log malicieux ou non, mieux vaut sauvegarder ses clés priver en soft et en cold.
full member
Activity: 225
Merit: 103
February 28, 2019, 03:45:06 PM
#5
Je trouve quand même que sur ce coup là coinomi n'a pas été très clair...  avoir des complices chez Google ce n'est pas non plus invraisemblable surtout pour récupérer des wallets qui ont été piégés.. Mais je ne dis pas que c'est le cas forcément . Le mec n'est pas du tout le seul même un développeur assez connu dans le milieu a parlé de bugs et de problème de transparence chez coinomi y a quelques temps déjà ;

https://imnotdead.co.uk/blog/coinomi
legendary
Activity: 2590
Merit: 2348
February 28, 2019, 11:39:37 AM
#4
En effet, après avoir lu attentivement l'histoire du gars qui s'est fait dérobé son wallet,

https://www.avoid-coinomi.com/

Il explique clairement et techniquement que les reponsables de coinomi auraient parait-il glisser un backdoor dans un de leur logiciel avec peut être une complicité à la clé (à travers l'api Google...) bref la team n'a pas été très clean visiblement et a mis plusieurs jours pour répondre et auraitmmême effacé des messages menaçants envers le type qui s'est fait voler tout son portefeuille !

Pour ma part j'ai déplacé ce que j'avais dans cette application et tout desinstaller car on ne sait jamais..
Ce n'est pas coinomi qui a créé cette fuite vers google mais un "plugin" utilisé dans le logiciel.
Il faudrait donc qu'ils aient en plus des complices chez le concepteur du plugin, en plus de chez google, ça commence à faire un sacré complot. Je dis pas que c'est impossible hein mais pour l'instant il semble qu'il n'y ait que lui qui ait été hacké alors qu'en plus il s'en était pris à eux sur twitter quelques jours avant le "hack" à propos d'un autre souci relatif à la sécurité (un fichier non signé)... ça fait beaucoup
legendary
Activity: 2590
Merit: 2348
February 28, 2019, 11:31:46 AM
#3
Le gars a ouvert un thread sur le forum, c'est toujours mieux de le signaler n'est-ce pas...   Roll Eyes
https://bitcointalk.org/index.php?topic=5114708.0;all

Effectivement l'histoire a l'air quand même un peu abracadabrantesque, surtout qu'on ne sait même pas si ce log d'erreur existe chez google et si il stocke l'intégralité du contenu des requètes.
full member
Activity: 225
Merit: 103
February 28, 2019, 05:12:04 AM
#2
En effet, après avoir lu attentivement l'histoire du gars qui s'est fait dérobé son wallet,

https://www.avoid-coinomi.com/

Il explique clairement et techniquement que les reponsables de coinomi auraient parait-il glisser un backdoor dans un de leur logiciel avec peut être une complicité à la clé (à travers l'api Google...) bref la team n'a pas été très clean visiblement et a mis plusieurs jours pour répondre et auraitmmême effacé des messages menaçants envers le type qui s'est fait voler tout son portefeuille !

Pour ma part j'ai déplacé ce que j'avais dans cette application et tout desinstaller car on ne sait jamais..
hero member
Activity: 658
Merit: 851
February 28, 2019, 04:15:36 AM
#1
@Halab, je ne suis pas sur que ce soit le bon endroit pour poster ca donc c'est toi qui vois.

Il y a de ca 48h, un gars a poste sur reddit qu'il avait perdu 70k places sur son wallet Coinomi a cause d'une faille de securite, sa passphrase ayant ete volee sur Google.
Apparemment, il ne s'agirait pas d'un cas isole.
Voici un article du JDC sur le sujet :

https://journalducoin.com/altcoins/faille-wallet-coinomi-plus-peur-que-mal/

"la version ordinateur (desktop) du wallet Coinomi envoyait la phrase secrète (seed) à l’application googleapis.com, pour vérifier l’orthographe des mots.
...
cette situation ne se produisait que lorsqu’un utilisateur rentrait sa phrase secrète pour restaurer un wallet existant (et non en cas de création d’un nouveau wallet). De plus, la faille ne concernait pas les versions mobiles (Android et iOS) du wallet Coinomi.
...
Bien qu’ils (Coinomi) confirment l’existence de la faille, ils signalent d’une part qu’elle a immédiatement été corrigée, et d’autre part qu’elle ne peut pas être à l’origine d’une réelle fuite.
...
En effet, contrairement aux rumeurs sur Reddit dont nous parlions plus haut, la phrase secrète n’était pas transmise en texte clair, mais chiffrée en SSL dans une requête HTTPS, Google étant le seul destinataire.

Ensuite, Coinomi affirme que ces demandes involontaires de vérification orthographique envoyées à l’application Google n’étaient en fait pas réellement traitées ou stockées. Les demandes renvoyaient une erreur « Bad Request » de code 400.
...
Coinomi précise que la faille n’était pas due à un bug dans le code source du wallet, mais à une mise à jour du plug-in Chromium appelé « jxBrowser », qui a activé automatiquement, par défaut, la vérification orthographique Google."
Jump to: