回归最本质的信息安全

浏览器挖坑活动总结

2017年10月18日发布

39,682
0
3

导语:先说一个统计数字,不过不要吓到宝宝哦!目前加密货币挖掘已影响5亿多用户了,但很不幸的是,这些行为都进行的很隐蔽,很多用户并没有发现他们的设备被用作了挖矿,比如前几天刚发现的Chrome扩展不但用你的Gmail注册域名还会注入挖矿代码

timg.jpg

先说一个统计数字,不过不要吓到宝宝哦!目前加密货币挖掘已影响5亿多用户了,但很不幸的是,这些行为都进行的很隐蔽,很多用户并没有发现他们的设备被用作了挖矿,比如前几天刚发现的Chrome扩展不但用你的Gmail注册域名还会注入挖矿代码。

在Alexa排名前十万的网站列表中,我查找了利用CoinHive和JSEcoin恶意挖矿代码的网站,发现目前利用这两个手段进行挖矿,是最受欢迎的浏览器挖掘手段了。

1.jpg

如上图所示,Alexa TOP前十万的网页中,0.22%的网页都这么做了,也就是说有220个站点都用的是CoinHive和JSEcoin,涉及的用户约为5亿。这些受影响的用户分布在世界各地,比如美国,中国,南美和欧洲国家,俄罗斯,印度,伊朗……

2.jpg

虽然,220个网站可能看起来不是很多。但你要知道这一过程仅仅是过去三周统计的数字,而且所获取的收入达到了4.3万美元,如果你觉得这个收入不值得一提的话,那我要告诉你CoinHive刚刚在9月14日发布,到现在刚刚满一个月。而且这4.3万美元的收入成本为0,这意味着利用CoinHive和JSEcoin所获得的都是纯利润。

CoinHive最初发布的时候,开发者表示这可以用来成为一种摆脱烦人的在线广告,并让站点获得盈利的新方式。这种网站变现方式的优势就在于它可以避免在网站上挂一些恶心的广告来实现盈利,劣势就是它会占用用户的 CPU,并且增加耗电量,严重者造成访问者电脑卡顿!(小编不建议使用这个)。

仔细检查这220个网站,我发现其中许多网站来与“灰色地带”的业务相关,比如从事视频业务的网站The Pirate Bay(海盗湾),种子下载和色情服务的网站。此前,海盗湾就承认自己在测试网页挖矿,目的是考虑取代广告收益,然后做成无广告的站点。

所以我的观点是,这种浏览器挖掘不管打着什么旗号出来,都应该被当成一种恶意攻击,被预防。

3.jpg

挖掘网站很盛行的另一个原因是,浏览器挖掘主要是在一些非主流的网站上发现的。这些网站传统上很难通过自身的广告效应进行盈利,所以它们的开发者对实验和创新持开放态度。其中,以色情网站最甚,许多新的技术实际上都是借助色情网站测试的,过一段时间才被其他网站借用过来。

事实上,除了非主流的网站在使用CoinHive外,目前映像最大的就是Showtime网站了。由于该网站是知名网站,可以合法盈利,因此它的这种行为使其受到了比之前被曝光的海盗湾网站更严厉的批评。Coinhive也发表了声明,指责了这种行为,并将在今后进行更加严格的管理。

海盗湾这么做其实还可以理解,因为其内容是非法的,需要寻找除广告以外的收入来源。但是Showtime的网站是合法的,可以光明正大做广告,却还是想用这种方法增加收入。受Coinhive影响的是Showtime的两个网站——showtime.com和showtimeanytime.com。据Showtime称,Coinhive被作为广告条的替代品,是网站所有者绕过讨厌的广告拦截器的一种方式。

Coinhive会从使用其服务的网站中抽取30%的收益,剩余部分会被发送到使用该脚本的网站。

客观地讲,浏览器挖掘本身并不是一件坏事,因为一个工具和技术无所谓好坏之分,关键看你是出于什么目的来使用了。

一个有趣的调查

当海盗湾被抓到使用类似脚本时,他们对自己未经许可就利用其用户处理能力进行秘密活动的行为表示了歉意。然而,后来,当海盗湾发布了一个调查,询问用户倾向于广告还是加密挖矿时,挖矿获得了压倒性支持。

Coinhive也发出了以下声明:

看到一些客户在网页中使用Coinhive,但没有告诉用户实情,更没有征求用户同意,我们对此深感难过。

接下来,Coinhive会要求浏览网站的人获得许可后才能开采其CPU。

也就是说,如果运行商在进行挖矿之前,只要征得用户的同意,那这种行为就比那些随意弹出的广告行为要道德的多。因为相比于广告,用户可以对是否接受挖矿有自主选择权,如果你不愿意你完全可以不让对方使用你的CPU。

不过这也会带来新的问题,就是运营商在使用你的CPU时,可能会造成你的数据泄露。

对恶意使用Coinhive的防范

在扫描发现的许多网站上,Coinhive的脚本路径都是被秘密上传的。

通过目前对许多运行Coinhive脚本的网站进行的调查发现,这些网站的管理者也不知道是谁将其添加到他们网站上的。在和我进行了交流后,这些网站已经删除了其中隐藏的采矿代码,更新了他们的安全政策,并调查代码是如何被植入的。比如每月访问量为60万的uptobox.com就出现这样事情,在我发稿时,他们已经删除了CoinHive代码。

Coinhive的开发者表示,他们也采取了针对恶意使用的行动:

 我们在不知情的情况下,让一些早期用户在被黑客入侵的网站上运行了该脚本。我们已经禁止了其中的几个账户,接下来还会继续禁止一些账户,直到我们弄清这些情况。

由于以一种大规模的分布方式使用他人设备,对黑客们来说有着巨大的吸引力,所以除了主动防御外,Coinhive还鼓励人们举报对其的恶意使用,并且表示任何使用它的网站都应该告知用户其计算机会参与到某个采矿计划中。现在,一些杀毒软件和广告拦截器还将浏览器挖掘加入了黑名单。比如,在开始使用采矿脚本后,提供安全服务的Cloudflare也暂停了一些客户的账户。他们是这样解释的:

如果访问者没有征求用户的同意,那Cloudflare就会将相关代码设定为恶意软件。

另外广告拦截软件AdGuard也升级了自己的拦截程序,以限制采矿行为。不过AdGuard并没有通过被动阻止来进行防御,而是提供了一些安全选择,比如用户可以在其上选择禁止在其浏览器中启动采矿或对特定的网站赋予采矿的权限,这样就可以防止隐藏的挖掘。

4.jpg

总结

就像开头所说的那样,Coinhive的出发点是好的,不过如果一直被滥用下去的话,那它将彻底沦为恶意工具。不过我认为未来Coinhive还是很有发展空间的,理由有三个:

1. 加密货币迅速增长已是大趋势,随着它们的行业产值越来越大,相信挖矿业也会发展起来的。

2. 虽然挖矿业可能不会带来巨额利润,但可能会让人人都参与进来。

3.广告似乎是个不令人待见的产物,任何能替代广告的创新都是件令人欣喜的事情。这从目前越来越多的人使用广告拦截器就可以看出端倪。虽然,挖矿和广告一样都会滥用用户的设备资源,但由于每个网站的吸金效应不同,所以就造成很多不公平,而挖矿可以让每个运行商都可以平等的获取得到资源的机会。

这就是为什么我建议把挖矿从地下作业转到地上作业的原因,只有处于阳光下的操作,才会让我们更加安全。

如若转载,请注明原文地址: http://www.4hou.com/web/8033.html

点赞 3
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

xiaohui

xiaohui

嘶吼编辑

发私信

发表评论