※ 引述《ProtectChu56 (Eric P. Chu)》之铭言:
: 讲重点:
: 1.Coinomi最近版本正式支援XMR了
: 2.Coinomi被某些国外乡民指控有严重安全性漏洞,且声称已被盗
: 第2点真假不明,请版上高手评论。
: 讨论串:
: https://twitter.com/lukechilds/status/1100613365850767360?s=21
: http://tinyurl.com/y3cthhe5
: 以我看的似懂非懂,大意是有人拍影片指控 桌面客户端的Coinomi
: 会在输入阶段,透过Googles remote spellchecker API
: 发送seed phrase出去
: 这会导致google员工可以知道你的种子短语,而原始作者声称因此已经被盗
: 这听起来很恐怖,而手机客户端由于是闭源,是否存在相同漏洞?
Coinomi的官方回应出来了:
https://medium.com/coinomi/official-statement-on-spell-check-findings-547ca348676b
缩 http://tinyurl.com/y496y86v
画重点:
1.该拼字检查是https传输,非明文。
2.该发送到Google API的拼写检查因为格式错误返回(代码:400)
Google拒绝了jxBrowser / Chromium发起的这些请求
(因为不包含有效的Google API密钥)并且从未实际处理过它们
3.已要求Google确认错误请求的文本未储存在他们的服务器上。
4.鉴于以上事实,极不可能发生失窃
但仍建议使用桌面客户端输入seed phrases还原钱包的客户更新并转移到新钱包
至于为什么会发生这种低级错误,官方给的理由我实在不能接受:
“我们的工程师立即找出了这个问题的原因,这不是我们源代码中的错误,
而是仅在桌面钱包中使用的插件中的错误配置。
该插件默认在最近的更新中启用了拼写检查功能,
并已在6天前由jxBrowser插件团队修复。”
如这影片评论的,在一个牵扯到大量金钱的重要软件中
使用外部插件开发本身就具有极大风险,而显然Coinomi甚至没有做好QA管理
这在开发流程上的轻率简直不可思议,何况,问题就是出现在你家的产品
怎么可以说这不是你们代码的错误?
https://www.youtube.com/watch?v=5WgD8YOqfLM
对于这份Coinomi正式回应,大家觉得?