Coinhive, iMonero
Kaut arī Coinhive JavaScript ieviešana tika izstrādāta likumīgiem mērķiem, šķiet, ka arvien vairāk tīmekļa drošības ekspertu ziņo, ka izstrādātāji to ir iekļāvuši vietnes kodā. Šāds uzbrukums, ja kāds vēlas atsaukties uz to, izmanto apmeklētāja CPU Monero kriptovalūtas monētu iegūšanai, kamēr lietotājs apmeklē lapu.
Tehniski tas nenodara reālu kaitējumu apmeklētāja instalācijai, kā arī atrauj apstrādes jaudu no noderīgiem uzdevumiem, lai gan tas var radīt nopietnas problēmas ar nepietiekami darbināmām ierīcēm.
Dažas vietnes ir izmantojušas šo metodi ar apzinātu piekrišanu kā alternatīvu tiešsaistes reklāmai, jo šī metode var ietekmēt visas pārlūkprogrammas, kuras var parsēt JavaScript kodu neatkarīgi no tā, kurā platformā tās darbojas.
Neskatoties uz to, vairākas ieviešanas, kas to izdarījušas bez lietotāju piekrišanas. Lielbritānijas Nacionālās noziedzības aģentūras ziņojumā, kas tika publicēts aprīlī, norādīts, ka populāras vietnes tiek apdraudētas ar ļaunprātīgu kodu, kas paredzēts kriptominēšanai.
Jau 15. jūnijā Asahi Shimbun ziņu dienests Tokijā ziņoja, ka desmit Japānas prefektūru policija ir veikusi 16 individuālus arestus pret cilvēkiem, kuriem ir aizdomas par patvaļīga koda pārsūtīšanu apmeklēto vietņu lietotājiem.
Viena no kodā nosūtītajām programmām tika identificēta kā Coinhive, savukārt viens no citiem aizdomās turamajiem izstrādāja kodu, kas līdzinājās Coinhive kodam, un nosūtīja to noteiktu vietņu lietotājiem.
Izmeklētāji paziņoja, ka viņi kontrolē Coinhive darbību kopš programmatūras izlaišanas 2017. gada septembrī.
Aresti tika veikti, jo vietnes lietotājiem netika lūgta viņu piekrišana. Neskatoties uz to, pati Coinhive joprojām ir likumīga programma, ja to lieto ar atbilstošu piekrišanu.
Tā kā šāda veida izvietošana parasti, šķiet, ietekmē iebūvētos JavaScript dzinējus pārlūkprogrammās, nevis pamata operētājsistēmā vai failu sistēmā, drošības ekspertiem varētu būt grūti izdomāt to mazināšanu.
Parastie tiešsaistes drošības ieteikumi, piemēram, pārlūkprogrammas kešatmiņu regulāra tīrīšana, varētu palīdzēt samazināt risku, ka iegultie skripti turpina meklēt kriptonauda monētas. Vairumā gadījumu skripti var darboties tikai tad, kad lietotāji apmeklē apdraudētu vietni vai ar viņu atļauju.
Tagi Kripto tīmekļa drošība
