Millioner udvinder kryptovaluta uden at vide det

Illustration: Colourbox/digi.no
Browsere kan bruges til at udvinde kryptovaluta, uden at brugeren spørges om lov først.

Der er mange penge at tjene på udvinding af kryptovaluta, men vil man udvinde valutaerne i stor skala, kræver det oftest store investeringer i hardware, og at man er villig til at betale for al den strøm, det kræver at udvinde eksempelvis en bitcoin.

Læs også: Husker du Heartbleed? Lignende sårbarhed dukker op i proprietær krypto-implementering

Men det kan omgås, hvis man bruger en distribueret tilgang til udvindelsen og spreder den krævende udvindingsproces ud over mange mindre kraftige enheder via eksempelvis browsere, skriver digi.no.

Læs også: Kaspersky Lab: 75 procent af al ransomware bliver udviklet af russere

Det er der flere legitime projekter, der har benyttet sig af længe, heriblandt Folding@Home og SETI@home.

Kan udnyttes af grådige sites

Men ikke alle sites er lige åbne omkring, hvad der foregår bag brugerfladen, når du besøger deres sites. Både kryptovalutaen Coinhive og dens pendant JSEcoin tilbyder nu Java-scripts, der tvinger besøgende til at udvinde den respektive valuta, når de besøger et site.

Læs også: Malware-udviklere kaster sig over JavaScript-bibliotek, der miner krypto-penge i browseren

Blot ved at den intetanende internetbruger besøger et website med Javascriptet i kildekoden.

Begge scripts har kun været tilgængelige i få måneder, men allerede efter 30 dage var JSEcoins script i gang med at få besøgende på 950 forskellige websites til at udvinnde krytovalutaen. Om de respektive websites informerer om deres nye forretningsmodel er op til dem selv - de behøver ikke brugernes accept.

Især hjemmesider med attraktivt indhold som porno, pirat-tv eller fildelingstjenester, der sikrer, at brugeren kommer tilbage uanset hvad, ser stort på, om brugeren ved, hvad der foregår skriver digi.no.

Læs også: CPU-slaveri: The Pirate Bay genoptager kryptomining uden mulighed for at sige fra

Derfor er der en større chance for at blive misbrugt til CPU-slaveri på disse sites.

Derudover er der blevet fundet flere Android-apps, der henter krryptovautaer uden brgernes vidende.

Læs også: Kriminelle bitcoinminere udnytter ubeskyttede cloudtjenester

Metoden kræver mange kontinuerlige brugere. Ifølge Coinhive giver 10-20 konstante brugere af et website med et miner-script omkring 200 danske kroner i kryptovalutaer om måneden, så vil man basere sin forretningsmodel på udvindingen, skal der mange brugere til.

Udnytter sårbarheder

En anden bagside ved scriptsene er, at uærlige mpersoner kan indsætte scriptet i usikre Wordpress-blogs, Drupal-sites osv. og dermed tvinge besøgende på sites, de ikke selv ejer, til at mine kryptovalutaer for dem.

Læs også: Teknikker til sikker dataanalyse kan gøre centrale sundhedsdatabaser overflødige

Sikkerhedsselskabet Sucuri skrev for nylig i et blogindlæg, at det vurderer, at op mod en halv million blogs og sites er blevet inficeret med miner-scripts.

For besøgende med mobile enheder betyder den automatiske udvinding af kryptovalutaer desuden en mærkbart kortere batterilevetid, men det kan andre finansieringsmetoder som eksempelvis reklamebannere også bidrage til.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Simon Mikkelsen

Det er træls når en webside bruger CPU-kraft på andet end at vise siden. Men det gør reklamer med video også. Det kan stadig mærkes tydeligt på en halvsløv computer i dag, men da reklamerne kom frem var det helt slemt.

Jeg forstår ikke at det er så frygteligt at mine når disse reklamer er fuldt ud accepterede. Er det fordi det er skjult? Folk ved nødvendigvis heller ikke at det er en reklame der gør computeren langsom.

  • 4
  • 1
Mads T. Jensen

... men det er der ingen der gider; og dem der siger de gider, de har alle mulige andre undskyldninger for hvorfor de så ikke gør det alligevel, når de har muligheden. Der er ellers masser af kreativitet - lige fra HTTP_REFERER spoofere der giver adgang til større dele af nyhedssiderne hvis man kommer fra Facebook, ned til at adblocke noget, siden kan tjene penge på - bare af princip; f.eks. Coinhive, som ikke engang behøves at tage specielt meget CPU kraft.

Når ting er på nettet skal det åbenbart være gratis - og siderne der producerer indholdet, overlever på "magisk vis" - men vigtigst af alt; det er ikke brugernes problem; de tager bare hvad de kan..

  • 1
  • 1
Axel Nielsen

Under forudsætningen, at det er sidens ejer der styrer showet, så vil jeg da meget hellere give lidt CPU-tid væk til mining, end ødsle det væk på "dumme" reklamer og understøtte et i forvejen uigennemskueligt og ineffektivt netværk...

I mine øjne en fantastisk løsning til alle dem der noget liggende, der er værd at dele/hente/nyttigt - Du vil gerne hente/læse noget hér - Javel, mens du gør dét, låner vi din CPU XX%
Hvis du blokerer vores miner-script, kan du ikke hente noget...

Nok ikke en universel model (Små, lidt besøgte sider tjener ikke noget, men så findes der andre løsninger).

Gad vide hvor der er mest "bang for the bucks", set i et større perspektiv?

  • 1
  • 2
Log ind eller Opret konto for at kommentere