Wanneer je jouw ‘seed phrase’ invoert om bij je wallet te komen gaat er iets goed mis bij Coinomi. De app stuurt een verzoek naar de spellcheck API van Google om de woorden te controleren op de juiste spellen. Jouw seed phrase, waarmee je toegang krijg tot je wallet, wordt in een normaal tekstbestandje verstuurd. Erg onveilig.
Onveilig
De SSL encryptie is gelukkig nog wel op zijn plek, dus er is nog iets van bescherming voor de gebruikers van de app. Maar dat maakt het geheel niet veel beter. De sleutel die toegang geeft tot jouw cryptocurrency’s staat waarschijnlijk gewoon in een Google database, in een gewoon tesktbestandje. Toegankelijk voor elke werknemer van Google die bij deze databases kan.
Weg bij Coinomi
Dit is erg gevaarlijk. Het is daarom aan te raden om je coins zo snel mogelijk weg te halen van deze applicatie. Hardware wallets of andere open-source wallets zijn aanraders om je cryptovaluta veilig op te slaan. Warith2020, een twitteraar, is de ondekker van dit grote veiligheidslek. Hij zegt zelf voor 70.000 dollar aan cryptovaluta te zijn verloren. Die claim kan op dit moment nog niet worden bevestigd.
In het onderstaande filmpje is het gehele proces duidelijk in beeld gebracht.
Rectificatie: officiële respons
Enkele uren na het publiceren van bovenstaande post kwam het team van Coinomi met een reactie. Zou je deze in het geheel willen lezen, dan is dat hier mogelijk.
TLDR: de seed phrase is niet verstuurd als plain text, maar het blijft altijd bínnen HTTPS-verzoek dat nodig is bij deze actie. Daarnaast werd deze seed phrase enkel verstuurd als je de gebruiker de Desktop-wallet hersteld. Tot slot werden de spellings-checks (die dus via de Google API zijn verzonden) niet verwerkt, gecached of opgeslagen. Het verzoek draait ook telkens uit op een error (code: 400) en het verzoek werd als ‘Bad Request’ weergegeven. Google heeft dus op geen enkele manier toegang gekregen tot de seed phrase.