標籤:

瀏覽器挖坑活動總結

先說一個統計數字,不過不要嚇到寶寶哦!目前加密貨幣挖掘已影響5億多用戶了,但很不幸的是,這些行為都進行的很隱蔽,很多用戶並沒有發現他們的設備被用作了挖礦,比如前幾天剛發現的Chrome擴展不但用你的Gmail註冊域名還會注入挖礦代碼。

在Alexa排名前十萬的網站列表中,我查找了利用CoinHive和JSEcoin惡意挖礦代碼的網站,發現目前利用這兩個手段進行挖礦,是最受歡迎的瀏覽器挖掘手段了。

如上圖所示,Alexa TOP前十萬的網頁中,0.22%的網頁都這麼做了,也就是說有220個站點都用的是CoinHive和JSEcoin,涉及的用戶約為5億。這些受影響的用戶分布在世界各地,比如美國,中國,南美和歐洲國家,俄羅斯,印度,伊朗……

雖然,220個網站可能看起來不是很多。但你要知道這一過程僅僅是過去三周統計的數字,而且所獲取的收入達到了4.3萬美元,如果你覺得這個收入不值得一提的話,那我要告訴你CoinHive剛剛在9月14日發布,到現在剛剛滿一個月。而且這4.3萬美元的收入成本為0,這意味著利用CoinHive和JSEcoin所獲得的都是純利潤。

CoinHive最初發布的時候,開發者表示這可以用來成為一種擺脫煩人的在線廣告,並讓站點獲得盈利的新方式。這種網站變現方式的優勢就在於它可以避免在網站上掛一些噁心的廣告來實現盈利,劣勢就是它會佔用用戶的 CPU,並且增加耗電量,嚴重者造成訪問者電腦卡頓!(小編不建議使用這個)。

仔細檢查這220個網站,我發現其中許多網站來與「灰色地帶」的業務相關,比如從事視頻業務的網站The Pirate Bay(海盜灣),種子下載和色情服務的網站。此前,海盜灣就承認自己在測試網頁挖礦,目的是考慮取代廣告收益,然後做成無廣告的站點。

所以我的觀點是,這種瀏覽器挖掘不管打著什麼旗號出來,都應該被當成一種惡意攻擊,被預防。

挖掘網站很盛行的另一個原因是,瀏覽器挖掘主要是在一些非主流的網站上發現的。這些網站傳統上很難通過自身的廣告效應進行盈利,所以它們的開發者對實驗和創新持開放態度。其中,以色情網站最甚,許多新的技術實際上都是藉助色情網站測試的,過一段時間才被其他網站借用過來。

事實上,除了非主流的網站在使用CoinHive外,目前映像最大的就是Showtime網站了。由於該網站是知名網站,可以合法盈利,因此它的這種行為使其受到了比之前被曝光的海盜灣網站更嚴厲的批評。Coinhive也發表了聲明,指責了這種行為,並將在今後進行更加嚴格的管理。

海盜灣這麼做其實還可以理解,因為其內容是非法的,需要尋找除廣告以外的收入來源。但是Showtime的網站是合法的,可以光明正大做廣告,卻還是想用這種方法增加收入。受Coinhive影響的是Showtime的兩個網站——showtime.comshowtimeanytime.com。據Showtime稱,Coinhive被作為廣告條的替代品,是網站所有者繞過討厭的廣告攔截器的一種方式。

Coinhive會從使用其服務的網站中抽取30%的收益,剩餘部分會被發送到使用該腳本的網站。

客觀地講,瀏覽器挖掘本身並不是一件壞事,因為一個工具和技術無所謂好壞之分,關鍵看你是出於什麼目的來使用了。

一個有趣的調查

當海盜灣被抓到使用類似腳本時,他們對自己未經許可就利用其用戶處理能力進行秘密活動的行為表示了歉意。然而,後來,當海盜灣發布了一個調查,詢問用戶傾向於廣告還是加密挖礦時,挖礦獲得了壓倒性支持。

Coinhive也發出了以下聲明:

看到一些客戶在網頁中使用Coinhive,但沒有告訴用戶實情,更沒有徵求用戶同意,我們對此深感難過。

接下來,Coinhive會要求瀏覽網站的人獲得許可後才能開採其CPU。

也就是說,如果運行商在進行挖礦之前,只要徵得用戶的同意,那這種行為就比那些隨意彈出的廣告行為要道德的多。因為相比於廣告,用戶可以對是否接受挖礦有自主選擇權,如果你不願意你完全可以不讓對方使用你的CPU。

不過這也會帶來新的問題,就是運營商在使用你的CPU時,可能會造成你的數據泄露。

對惡意使用Coinhive的防範

在掃描發現的許多網站上,Coinhive的腳本路徑都是被秘密上傳的。

通過目前對許多運行Coinhive腳本的網站進行的調查發現,這些網站的管理者也不知道是誰將其添加到他們網站上的。在和我進行了交流後,這些網站已經刪除了其中隱藏的採礦代碼,更新了他們的安全政策,並調查代碼是如何被植入的。比如每月訪問量為60萬的uptobox.com就出現這樣事情,在我發稿時,他們已經刪除了CoinHive代碼。

Coinhive的開發者表示,他們也採取了針對惡意使用的行動:

我們在不知情的情況下,讓一些早期用戶在被黑客入侵的網站上運行了該腳本。我們已經禁止了其中的幾個賬戶,接下來還會繼續禁止一些賬戶,直到我們弄清這些情況。

由於以一種大規模的分布方式使用他人設備,對黑客們來說有著巨大的吸引力,所以除了主動防禦外,Coinhive還鼓勵人們舉報對其的惡意使用,並且表示任何使用它的網站都應該告知用戶其計算機會參與到某個採礦計劃中。現在,一些殺毒軟體和廣告攔截器還將瀏覽器挖掘加入了黑名單。比如,在開始使用採礦腳本後,提供安全服務的Cloudflare也暫停了一些客戶的賬戶。他們是這樣解釋的:

如果訪問者沒有徵求用戶的同意,那Cloudflare就會將相關代碼設定為惡意軟體。

另外廣告攔截軟體AdGuard也升級了自己的攔截程序,以限制採礦行為。不過AdGuard並沒有通過被動阻止來進行防禦,而是提供了一些安全選擇,比如用戶可以在其上選擇禁止在其瀏覽器中啟動採礦或對特定的網站賦予採礦的許可權,這樣就可以防止隱藏的挖掘。

總結

就像開頭所說的那樣,Coinhive的出發點是好的,不過如果一直被濫用下去的話,那它將徹底淪為惡意工具。不過我認為未來Coinhive還是很有發展空間的,理由有三個:

1. 加密貨幣迅速增長已是大趨勢,隨著它們的行業產值越來越大,相信挖礦業也會發展起來的。

2. 雖然挖礦業可能不會帶來巨額利潤,但可能會讓人人都參與進來。

3.廣告似乎是個不令人待見的產物,任何能替代廣告的創新都是件令人欣喜的事情。這從目前越來越多的人使用廣告攔截器就可以看出端倪。雖然,挖礦和廣告一樣都會濫用用戶的設備資源,但由於每個網站的吸金效應不同,所以就造成很多不公平,而挖礦可以讓每個運行商都可以平等的獲取得到資源的機會。

這就是為什麼我建議把挖礦從地下作業轉到地上作業的原因,只有處於陽光下的操作,才會讓我們更加安全。

如若轉載,請註明原文地址: 4hou.com/web/8033.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

TAG:信息安全 |