Тысячи правительственных сайтов скрытно добывали криптовалюты
Исследователь безопасности Скотт Гельм (Scott Helme) обнаружил 4275 легитимных сайтов, многие из которых принадлежат правительственным службам и агентствам, на которых при этом работают теневые веб-скрипты, использующие компьютеры посетителей для добычи криптовалют.
Источником столь широкой проблемы стал модуль BrowseAloud, встроенный во все пораженные сайты. Он может озвучивать текст и призван сделать веб-ресурсы более доступными для тех, кто страдает нарушением зрения или сталкивается с другими сложностями в восприятии информации. Именно правительственные сайты обязаны предоставлять подобную функциональность, чтобы обеспечить доступ максимально широкому кругу лиц.
При этом ни владельцы затронутых сайтов, ни компания TextHelp — разработчик модуля BrowseAloud — не несут прямой ответственности за внедрение вредоносного кода. Это произошло в воскресенье 11 февраля по вине третьей стороны, модифицировавшей BrowseAloud для скрытного внедрения криптовалютного кода CoinHive. В настоящее время TextHelp приостановила работу плагина до устранения проблем безопасности.
Случаи внедрения подобного рода кода, задействующего мощности большого количества компьютеров посредством веб-браузера, довольно распространены, но характерна для сомнительного рода ресурсов вроде бесплатных или поддельных файлохранилищ. Такой вид фонового заработка для владельцев сайтов часто более приемлем, чем демонстрация навязчивой рекламы, отталкивающей посетителей. При этом использование веб-скриптов, исполняющихся на центральном процессоре, является, пожалуй, наименее эффективным способом добычи криптовалют, особенно нежелательным для мобильных устройств, которые будут быстро разряжаться и греться.
Появление подобного рода зловредов на сайтах с максимальным уровнем доверия является прецедентом, требующим обратить более серьезное внимание на вопросы безопасности в Интернете, особенно связанные с использованием готовых сторонних модулей. К счастью, в данном случае исследователи безопасности быстро выявили проблему.
Скотт Гельм рекомендует владельцам сайтов использовать инструменты SRI и CSP, чтобы избежать подобного рода внедрений нежелательного кода. Рядовые же пользователи могут установить плагин No Coin для браузеров Firefox, Chrome. С недавних пор мобильная и настольная версии Opera имеют встроенную защиту от добычи криптовалют.