Coinhive, iMonero
Vaikka Coinhiven JavaScript-toteutus on kehitetty laillisiin tarkoituksiin, näyttää siltä, että yhä useampi verkkoturva-asiantuntija raportoi, että kehittäjät ovat upottaneet sen sivustokoodiin. Tällainen hyökkäys, jos halutaan viitata siihen sellaisenaan, käyttää kävijän CPU: ta Monero-salausvaluutan kolikoiden kaivamiseen, kun käyttäjä vierailee sivulla.
Teknisesti tämä ei aiheuta todellista vahinkoa kävijän asennukselle sen lisäksi, että se vie prosessointitehoa pois hyödyllisistä tehtävistä, vaikka se saattaa aiheuttaa vakavia suorituskykyongelmia alitehoisilla laitteilla.
Muutama sivusto on käyttänyt tätä menetelmää tietoon perustuvalla suostumuksella vaihtoehdoksi verkkomainontaan, koska tekniikka voi vaikuttaa kaikkiin selaimiin, jotka voivat jäsentää JavaScript-koodin riippumatta siitä, millä alustalla he käyttävät.
Useat toteutukset, jotka ovat tehneet niin ilman käyttäjien suostumusta. Ison-Britannian kansallisen rikollisjärjestön huhtikuussa julkaisemassa raportissa todetaan, että suosittuihin sivustoihin kohdistuu vaarallisia koodeja, jotka on suunniteltu auttamaan salauksen käsittelyssä.
Asahi Shimbun -uutispalvelu Tokiossa ilmoitti jo 15. kesäkuuta, että kymmenen Japanin prefektuurin poliisi oli tehnyt 16 yksittäistä pidätystä ihmisiä kohtaan, joiden epäillään lähettäneen mielivaltaista koodia vierailemiensa sivustojen käyttäjille.
Yksi koodissa lähetetyistä ohjelmista tunnistettiin Coinhiveksi, kun taas yksi epäiltyistä suunnitteli koodin, joka muistutti Coinhiven koodia, ja lähetti sen tiettyjen sivustojen käyttäjille.
Tutkijat ilmoittivat seuranneensa Coinhiven toimintaa ohjelmiston julkaisun jälkeen syyskuussa 2017.
Pidätykset tehtiin, koska sivuston käyttäjiltä ei pyydetty suostumusta. Coinhive itsessään on kuitenkin edelleen laillinen ohjelma, kun sitä käytetään asianmukaisella suostumuksella.
Koska tällaiset käyttöönotot näyttävät yleensä vaikuttavan selaimissa oleviin JavaScript-moottoreihin taustalla olevan käyttöjärjestelmän tai tiedostojärjestelmän sijasta, tietoturva-asiantuntijoiden saattaa olla vaikeaa ehdottaa heille lieventämistä.
Tavanomaiset online-tietoturvaohjeet, kuten selaimen välimuistien säännöllinen puhdistus, voivat auttaa vähentämään riskiä, että upotetut komentosarjat jatkavat kryptovaluutta-kolikoiden louhintaa. Useimmissa tapauksissa komentosarjat voivat toimia vain, kun käyttäjät vierailevat vaarantuneella sivustolla tai heidän luvallaan.
Tunnisteet Salaus verkkoturva
