Una vulnerabilidad relacionada con la privacidad fue descubierta en la billetera Coinomi, lo cual provocó una reacción hostil por parte de sus desarrolladores.

Coinomi es una billetera multi-monedas muy reconocida por ser una de las más confiables, seguras y fáciles de usar. Sin embargo, recientemente se descubrió una vulnerabilidad que podría afectar potencialmente a la privacidad de los usuarios. Inicialmente descubierta a comienzos de este mes por Luke Childs, aparentemente la billetera se conecta de forma no encriptada a los servidores Electrum sin SSL. Childs mencionó este problema en GitHub:

“Gran trabajo en Coinomi!

Revisando el código parece que su app funciona a través de servidores Electrum. La conexión a esos servidores muestra que están sin encriptación, sin SSL:

$ telnet vtc-cce-1.coinomi.net 5028
Trying 46.4.85.241…
Connected to socrates.coinomi.net.
Escape character is ‘^]’.
{ “id”: 0, “method”: “server.version” }
{“jsonrpc”: “2.0”, “id”: 0, “result”: “ElectrumX 1.0.14”}
¿Esto significa que su aplicación Android está haciendo todas las solicitudes a Electrum en texto plano?”

Después de una semana sin respuesta, Childs reiteró la gravedad de la situación antes de llevarla a los medios sociales for a response:

“Basicamente al abrir la app de Coinomi estoy enviando todas mis direcciones de Bitcoin en texto plano a través de la red.

Seriamente chicos, este es un problema masivo de privacidad y necesita ser solucionado. ElectrumX soporta SSL nativamente, todo lo que necesitan hacer es generar un certificado. ¿Tienen algún plan para reparar esto?”

Los desarrolladores publican una respuesta defensiva y fuerte

Casi dos semanas después de que el problema fuese sacado a la luz, uno de los desarrolladores respondió en GitHub:

“Hola a todos,

Hemos estado trabajando en extender el protocolo de electrum para soportar websockets seguros así que podríamos tener un API del indexador de electrum unificado para las aplicaciones móviles y sitios web.

Estén atentos al repositorio de ElectrumX para las solicitudes.
Lamentamos que tarde tanto en repararse.”

Sin embargo, después de esto, la cuenta de Twitter oficial de Coinomi respondió negativamente a los mensajes publicados previamente por Childs cuando advirtió sobre el problema luego de no haber recibido una respuesta de manera oportuna:

//platform.twitter.com/widgets.js

Coinomi además le solicitó a Childs disculparse por revelar información que podría llevar a los usuarios a buscar una alternativa, calificada por Coinomi como “inferior e insegura”.

//platform.twitter.com/widgets.js

Coinomi podría estar refiriéndose a la billetera Jaxx, sobre la cual ha habido cierto drama después de la revelación de que ésta almacenaba su pin de seguridad sin encriptación. Coinomi ha usado ese hecho como una oportunidad de publicidad negativa:

//platform.twitter.com/widgets.js

Los usuarios deberían hacer su trabajo de investigar en qué servicios confiar

Los usuarios de Dash siempre deberían tomar precauciones con los servicios a los que les confían sus fondos. Las criptomonedas son descentralizadas, peer-to-peer, sin involucrar confianza, y mientras estas ofrecen muchas ventajas sobre los métodos tradicionales y centralizados de transacciones, implican una gran responsabilidad para el consumidor para hacer la investigación adecuada en los servicios que usa. Mientras una moneda importante como Dash con un código completamente revisado puede ser de confianza fácilmente, la mayoría de aplicaciones pequeñas y servicios que comprenden el ecosistema de Dash pueden no haber tenido el beneficio de ser expuestas al mismo nivel de escrutinio. Como un punto de partida, los usuarios sólo deberían confiar en billeteras listadas en Dash.org (y mantenerse al tanto de nuevas vulnerabilidades descubiertas inclusive en estas billeteras de terceros), y tener precaución cuando confíen en otros servicios.