※ 引述《ProtectChu56 (Eric P. Chu)》之銘言:
: 講重點:
: 1.Coinomi最近版本正式支援XMR了
: 2.Coinomi被某些國外鄉民指控有嚴重安全性漏洞,且聲稱已被盜
: 第2點真假不明,請版上高手評論。
: 討論串:
: https://twitter.com/lukechilds/status/1100613365850767360?s=21
: http://tinyurl.com/y3cthhe5
: 以我看的似懂非懂,大意是有人拍影片指控 桌面客戶端的Coinomi
: 會在輸入階段,透過Googles remote spellchecker API
: 發送seed phrase出去
: 這會導致google員工可以知道你的種子短語,而原始作者聲稱因此已經被盜
: 這聽起來很恐怖,而手機客戶端由於是閉源,是否存在相同漏洞?
Coinomi的官方回應出來了:
https://medium.com/coinomi/official-statement-on-spell-check-findings-547ca348676b
縮 http://tinyurl.com/y496y86v
畫重點:
1.該拼字檢查是https傳輸,非明文。
2.該發送到Google API的拼寫檢查因為格式錯誤返回(代碼:400)
Google拒絕了jxBrowser / Chromium發起的這些請求
(因為不包含有效的Google API密鑰)並且從未實際處理過它們
3.已要求Google確認錯誤請求的文本未儲存在他們的服務器上。
4.鑒於以上事實,極不可能發生失竊
但仍建議使用桌面客戶端輸入seed phrases還原錢包的客戶更新並轉移到新錢包
至於為什麼會發生這種低級錯誤,官方給的理由我實在不能接受:
「我們的工程師立即找出了這個問題的原因,這不是我們源代碼中的錯誤,
而是僅在桌面錢包中使用的插件中的錯誤配置。
該插件默認在最近的更新中啟用了拼寫檢查功能,
並已在6天前由jxBrowser插件團隊修復。」
如這影片評論的,在一個牽扯到大量金錢的重要軟體中
使用外部插件開發本身就具有極大風險,而顯然Coinomi甚至沒有做好QA管理
這在開發流程上的輕率簡直不可思議,何況,問題就是出現在你家的產品
怎麼可以說這不是你們代碼的錯誤?
https://www.youtube.com/watch?v=5WgD8YOqfLM
對於這份Coinomi正式回應,大家覺得?