Coinomi foydalanuvchisi dasturchining xatosi tufayli taxminan 70 000 dollarlik kriptovalyutani yo’qotdi.
Kripto hamyonni o’rnatishda foydalanuvchi tanlagan parol Google’ning imlo tekshiruvi xizmatiga yuboriladi.
Coinomi kripto hamyoni foydalanuvchilarning dastlabki iboralarini Google’ning imlo tekshiruvi xizmatiga shifrlanmagan holda yuboradi, bu ularning hisoblari va mablag’larini xavf ostiga qo’yadi. Dasturchi Warith Al Maawali buni o’z qo’lida bilib oldi va rasmiy veb-saytdan Coinomi hamyonini o’rnatgandan so’ng taxminan 60 000-70 000 dollar kriptovalyutani yo’qotdi. «Mening asosiy Exodus hamyonim ba’zi aktivlarni qo’llab-quvvatlamadi, shuning uchun men ularni xuddi shu boshlang’ich ibora yordamida Coinomi’ga ko’chirishga qaror qildim», deb yozgan Al Maawali. Bir necha kundan so’ng, u aktivlarining 90% dan ortig’i – Bitcoin, ETH, ERC20 tokenlari, LTC va Bitcoin Cash, qiymati 70 000 dollargacha bo’lgan – Exodus hamyonidan turli manzillarga olib chiqilganligini aniqladi. Hamyonda faqat Coinomi tomonidan qo’llab-quvvatlanmaydigan aktivlar qoldi.
Tahlillar shuni ko’rsatdiki, kripto hamyonni o’rnatishda foydalanuvchi tanlagan parol (boshlang’ich ibora) maxfiy ravishda Google’ning imlo tekshiruvi xizmatiga yuboriladi (Chromium asosidagi ilovalar singari, Coinomi turli xil Google xizmatlari bilan birga keladi). Ko’rinishidan, kripto hamyon ishlab chiquvchilari bu funksiyani o’chirib qo’yishmagan, shu bilan tajovuzkorlarga ilovaning chiquvchi veb-trafikini ushlab olish va foydalanuvchilarning shifrlanmagan boshlang’ich iboralariga kirish imkonini berishgan.
«Men hamyonni tiklash maydoniga tasodifiy boshlang’ich iborani kiritdim va u imlo tekshiruvi uchun googleapis.com saytiga oddiy matnda yuborilganini aniqladim. Texnologiya va kriptovalyuta bilan shug’ullanadigan har bir kishi 12 ta tasodifiy inglizcha so’z kripto hamyon boshlang’ich iborasi bo’lishi mumkinligini biladi. Shuning uchun, Google jamoasidagi kimdir yoki googleapis.com saytiga yuborilgan HTTP so’rovlariga kirish huquqiga ega bo’lgan kimdir boshlang’ich iborani topib, undan 60 000-70 000 dollarlik kriptovalyutani o’g’irlash uchun foydalangan», deb yozgan Al Maavali.
Coinomi vakillarining so’zlariga ko’ra, muammo faqat kripto hamyonining ish stoli versiyasiga ta’sir qildi va mobil qurilma foydalanuvchilariga ta’sir qilmadi. Ular, shuningdek, Google API-ga so’rovlar shifrlangan va noto’g’ri bo’lganini va shuning uchun Google tomonidan qayta ishlanmaganini da’vo qilmoqdalar. Muammo allaqachon hal qilingan.
