事の発端

このツイートにより、GoogleのスペルチェックAPIによってニーモニックが流出してしまっているとのこと。

SECURITY VULNERABILITY@CoinomiWallet sends your plain text seed phrase to Googles remote spellchecker API when you enter it! This is not a joke!

Video attached for proof.

Credit goes to @warith2020 for finding the issue, read more from him here: https://t.co/tCZ0hDPyJ3 pic.twitter.com/hdaPOb84A9

— Luke Childs (@lukechilds) February 27, 2019

なぜそんなことが起こったか気になったので調べてみる

下記のCoinomiWalletの公式サイトからMac版をダウンロードする

www.coinomi.com

v1.0.5*1を本記事では検証しました。

Windows, Mac, Linuxと対応していたので、Electronを使っているのではないかと当たりをつけてました。

右クリック→パッケージの内容を表示 とすると、アプリのディレクトリが見れます。

ElectronではなくJavaだった！

coinomi-wallet-mac.jar をデコンパイルする

Javaだったのでデコンパイルする必要があります。

下記のデコンパイラを使用します。

jd.benow.ca

chromium(Google Chromeのベース部分)で動いてそうなのが伺えます。

AppWindow.class を確認してみると SpellCheckerService というのが利用されてますが、 setEnabled(false) とスペルチェックをオフにしています。 OAuthWindow.class も同様にoffにされています。

あれ、offにされてるのに送信されるの？バグなの？？

ここで冷静になる

「Twitterで報告されるような脆弱性対応終わってないわけないでしょ。修正済みなのでは？」

と思って、公式Twitter見てみたら・・・

Our official statement on the spell-check findings: https://t.co/o7Fmhn2FoI

— coinomi (@CoinomiWallet) February 27, 2019

公式声明が出てました。

そらそうですよね。

公式声明まとめ

• restore時のみスペルチェックが発動してもれる
• GoogleのAPIもAPIキーが含まれておらず、正常には処理できていなかった
• モバイルは大丈夫
• もう修正済みで自動アプデされる

chromiumとjxBrowser

jxBrowserというjavaのchromiumラッパー(？)がちょうど１週間前にアップデートされています。

jxbrowser.support.teamdev.com

chromiumがデフォルトでGoogleのAPIを利用して通信してしまうので、それをオフにできるような修正が入っていました。 セキュリティ要件等で厳しい時は、それをオフにするといいとのこと。

まとめ

• CoinomiWalletのデスクトップ版のみこのバグがあったが既に修正済み(自動でアプデ配信されているようです)
• chromium便利だけど、こういう時びっくり挙動があったりでびっくりする(かも)