多個谷歌擴展程序被指進行祕密挖礦,網友的計算機安全該由誰來守護?

巴比特資訊Francisco2017-10-27 00:27:35

巴比特

服務於區塊鏈創新者

本月早些時候,視頻種子搜索引擎The Pirate Bay被指利用訪客的CPU進行門羅幣(Monero)挖礦,旨在將該網站流量轉化為資金。該網站採用了Coinhive,這種JavaScript代碼能夠幫助網站管理團隊挪用訪客的資源來挖出這一匿名的加密貨幣。

自從The Pirate Bay被曝使用這類代碼之後,很多其它網站也開始藉著這次機會,在沒有徵求網友同意的前提下私自挪用他們的CPU來挖這個加密貨幣。近期,有一種名為“Short URL (goo.gl)”的谷歌瀏覽器(Chrome)擴展程序也被指使用了這種JavaScript代碼,揭發這一事件的是Node.js軟件工程師Alessandro Polidori。

一開始,Polidori收到了網絡安全工具的警告,因此他決定進一步深入研究這個擴展程序。他發現這個程序在下載並且運行一個來自Coinhive的文件,名為cryptonight.wasm,之後就開始悄悄地挖礦。

這個插件的開發者並未提及其中包含加密貨幣挖礦功能,因此為了確定他的電腦設置沒有被更改,保險起見Polidori重新下載了瀏覽器。然而他發現,只要打開谷歌瀏覽器,他的CPU使用率就會再次達到95%。他說:

為了排除設置被更改的可能,我把這個擴展程序安裝到新的谷歌瀏覽器中。不幸的是,我看到了同樣的結果,因此可以說這個擴展程序本身就包含這樣的設計。

當Polidori發現這個擴展程序的祕密挖礦功能時,其下載量已經有1.5萬次,Polidori立刻通知了谷歌下架這個程序。利用訪客的CPU算力來挖門羅本身並不是惡意行為,但問題就是他們事先並未徵求用戶的同意。在某些論壇,用戶已經明確表示自己很樂意貢獻自己的CPU算力(大概沒有95%那麼多)來移除網站中的廣告。

網頁挖礦的爆發

上月,另一個谷歌擴展程序“SafeBrowse”也被下架了,因為它同樣植入了加密貨幣挖礦代碼。黑客已經成功滲透一些網站(包括CBS的Showtime網站)並通過安裝Coinhive代碼獲取收益。

為了迴應各界的批評,Coinhive(儘管這種代碼的應用通常都是合法的)已經開始研發一種新的門羅挖礦功能AuthedMine,這種工具在開始挖礦之前會徵求用戶的同意,而不是私自進行挖礦。由於該組織的挖礦代碼是在太受歡迎,市面上出現了不少競爭者,其中之一就是Crypto-Loot,它的宣傳“亮點”在於用戶不會注意到這種挖礦代碼的運行,也就是說事先不用徵求用戶的同意。

上月,卡巴斯基實驗室透露,至少有165萬臺計算機感染了挖礦惡意軟件並被迫進入大型僵屍網絡。安全軟件生產商已經注意到這一現象,Malwarebytes和ad blockers等反惡意反間諜軟件以及各個殺毒軟件都已經開始屏蔽門羅挖礦代碼。


原文:https://www.cryptocoinsnews.com/google-chrome-extension-caught-silently-mining-monero-with-visitor-cpu-power/

作者:Francisco Memoria

編譯:Wendy

稿源(譯):巴比特資訊(http://www.8btc.com/chrome-extension-mining)

文章為作者獨立觀點,不代表巴比特立場。


更多資訊:

蘋果公司聯合創始人:比特幣要比黃金和美元更好,區塊鏈的機會數不勝數

印尼央行不承認比特幣支付屬性,支付服務商被迫關閉運營

瑞士信貸銀行銀行家:只有天空才是區塊鏈的極限,比特幣只是區塊鏈的第一種殺手APP

關於場外交易,你可能會忽視的風險

臺積電:第三季度收入增長17.9%,加密貨幣挖礦功不可沒

哈薩克斯坦擬發行以法幣為支撐的國家加密貨幣

區塊鏈開發成本如此昂貴,值得嗎?華爾街女皇等大咖表示肯定

摩根大通CEO三次唱空比特幣,比特幣究竟動了誰的奶酪?

比特幣分叉爭論現醜聞,Bitgo工程師Lopp險喪命

回覆以下關鍵詞查閱相關區塊鏈資料

回覆 區塊鏈報告 免費下載 《37份國內證券行業發佈的區塊鏈研究報告》

回覆 工信部 免費下載 《中國區塊鏈技術和應用發展白皮書》

回覆 超級賬本 免費下載《超級賬本Hyperledger白皮書》

回覆 比特幣白皮書,免費下載《比特幣:一種點對點的電子現金系統》

回覆 以太坊,免費下載《以太坊白皮書》

回覆 側鏈 免費下載《側鏈白皮書:用楔入式側鏈實現區塊鏈的創新》

回覆 歐洲央行 免費下載《歐洲央行分佈式賬本技術報告》

回覆 高盛 免費下載 《高盛區塊鏈報告:區塊鏈 從理論走向實踐》

回覆 閃電網絡 查看《詳解最近大熱的閃電網絡、雷電網絡和CORDA到底是什麼》

回覆 閃電網絡白皮書 免費下載《比特幣閃電網絡白皮書:可擴展的 off-chain 即時支付》

回覆 麥肯錫 免費下載《麥肯錫區塊鏈報告:銀行業遊戲規則的顛覆者》

回覆 IBM  免費下載《IBM 區塊鏈熱點技術與應用》

回覆 畢馬威 免費下載《畢馬威區塊鏈研究報告:價值互聯的不變協議 》

回覆 金融科技 免費下載《中國領先金融科技50強》


我是幣圈最牛的公眾號


閱讀原文

TAGS:區塊鏈挖礦挖礦代碼挖礦功能