Apakah browser Anda diam-diam menambang cryptocurrency?
Pernahkah Anda memperhatikan browser web Anda menelan lebih banyak sumber daya komputer Anda baru-baru ini? Sangat menggoda untuk percaya bahwa memori Google Chrome semakin buruk, tetapi mungkin saja situs yang Anda kunjungi diam-diam memanen siklus CPU "cadangan" Anda untuk mendapat untung.
Di tengah peningkatan dramatis dalam nilai mata uang virtual seperti Bitcoin dan Monero, menambangnya merupakan sumber pendapatan yang semakin menggoda. Sedemikian rupa sehingga satu set baru alat penambangan berbasis JavaScript yang dirancang untuk membantu situs web secara sah mendapatkan uang dari pengunjung mereka ditumbangkan untuk mencuri siklus CPU dengan tenang.
"Anda secara efektif mencuri sumber daya dari orang lain dan berusaha menghasilkan uang darinya," kata Simon Edwards, arsitek keamanan di Trend Micro. "Dampaknya pada pengguna perangkat yang terpengaruh jelas dalam peningkatan keausan perangkat, mengurangi masa pakai baterai dan kinerja yang lebih lambat."
Penambangan cryptocurrency adalah bisnis besar, dan dengan biaya membuat rig spesialis yang kompetitif meningkat, model yang didistribusikan masuk akal – asalkan para peserta sadar bahwa prosesor mereka digunakan sebagai alat penambangan.
Apa punyamu ditambang
CoinHive adalah alat yang memungkinkan browser web untuk menambang cryptocurrency di latar belakang
Namun, dalam beberapa minggu sejak teknologi untuk menambang mata uang di browser windows telah dirilis, para peneliti telah melihat peningkatan penyalahgunaan – baik di situs web maupun di aplikasi Android.
Platform seperti CoinHive dan JSECoin dapat diinstal secara sah di dalam alat web, seperti yang dikatakan JSEcoins "jalankan proses hashing matematis di latar belakang saat menjelajah situs web, menggunakan kelebihan daya CPU yang jika tidak akan terbuang sia-sia".
JavaScript di situs web berjalan di browser pengguna akhir dan melewati proses penambangan blok. Sebagai imbalan untuk menjalankan kode, situs web menerima 70% dari mata uang yang dihasilkan dari pengguna di situs mereka.
"Penambangan sisi klien di situs web tidak menjadi masalah sampai saat ini karena JavaScript (Flash, atau apa pun) tidak memiliki kinerja yang baik untuk penambangan, dan penambangan diperlukan untuk mengunduh gigabyte rantai blok, yang tidak mungkin untuk kunjungan situs yang mungkin hanya bertahan beberapa detik, "kata Denis Sinegubko, pendiri Unmask Parasites dan peneliti malware senior di perusahaan keamanan Sucuri.
"Itu sampai musim gugur ini ketika platform penambangan JavaScript muncul – mereka memilih koin Monero, yang algoritme penambangannya memiliki kinerja yang sebanding bahkan pada komputer klien."
Peretas cepat mengeksploitasi alat baru. Perusahaan keamanan Trend Micro baru-baru ini menemukan dua aplikasi di Google Play Store, sementara perusahaan keamanan Sucuri mengatakan telah melihat setidaknya seribu kasus situs yang terinfeksi menjalankan plugin WordPress untuk CoinHive.
Penjarahan bajak laut
Penggunaan CPU sisi klien yang dipublikasikan secara luas pertama kali untuk penambangan klandestin datang dengan berita bahwa situs berbagi file yang lama, The Pirate Bay, tertangkap basah menjalankan alat secara sembunyi-sembunyi, setelah pengguna melihat peningkatan aktivitas prosesor ketika mengunjungi situs tersebut. Situs itu tidak memberi pemberitahuan, juga tidak menawarkan skrip penambangan.
Situs Torrent Pirate Bay adalah salah satu yang pertama kali menggunakan penambang mata uang rahasia
Ini lebih luas di bagian web yang lebih suram, seperti situs dewasa dan berbagi file, tempat pengunjung cenderung berdiam sebentar untuk membaca berita.
Pakar keamanan mengatakan deklarasi sederhana bahwa mereka menggunakan alat akan berarti situs web bertindak secara bertanggung jawab dan melegitimasi teknologi, tetapi banyak yang lebih suka memasukkan kode penambangan ke browser tanpa peringatan. "Sebagian besar situs akan secara diam-diam menggunakan pendekatan ini, menanamkannya ke dalam apa pun yang dapat menjalankan JavaScript, kata Bruno Škvorc, pendiri situs cryptocurrency Bitfalls.com, yang baru-baru ini, dan secara terbuka, menyebarkan teknologi dalam uji coba." Mudah untuk meletakkannya di pengguna yang tidak curiga dan buta huruf secara teknis, karena kami sudah terbiasa dengan browser yang memakan RAM dan CPU kami sepanjang waktu. "
Pengembang juga menargetkan aplikasi yang dikirim melalui Google Play, yang menanamkan teknologi ke dalam browser web di dalam aplikasi. "Semuanya dimulai sekitar sebulan yang lalu dan saat ini ada puluhan klon CoinHive yang menggunakan taktik yang sama – mereka membuat browser tersembunyi kecil di dalam aplikasi dan menggunakan kode ConHive yang sama untuk melakukan penambangan," kata Andrey Meshkov, CTO dari perusahaan pemblokiran iklan AdGuard.
"Keuntungannya sangat rendah tetapi jumlah aplikasi yang ingin menggunakan ini mengkhawatirkan dan Google Play tidak memiliki proses nyata (untuk memblokir ini), jadi tidak ada yang menghentikan mereka dari menanamkan semacam penambang di sana."
Peluang untuk menghasilkan
Meskipun risiko penyalahgunaan merusak teknologi yang baru lahir ini sebelum kebanyakan orang bahkan pernah mendengarnya, pengamat industri percaya bahwa penambangan CPU benar-benar dapat berfungsi sebagai mata uang web. Dengan pendapatan iklan yang semakin sulit didapat karena dominasi Google dan meningkatnya penggunaan pemblokir iklan, penambangan dapat memberikan aliran pendapatan alternatif.
"Bisa jadi positif, bukan hanya sebagai pengganti iklan," kata Meshkov. "Ada banyak paywalls dan bukankah lebih baik tidak membayar untuk berlangganan, tetapi untuk menambang selama satu jam dan kemudian mendapatkan akses. Tapi seluruh model bisa dihancurkan oleh semua orang yang menggunakannya secara tidak sah. Jika Anda dapat memilih keluar dan memberikan pilihan ini baik-baik saja, tetapi ketika mereka melakukannya dengan cara tersembunyi maka itu murni malware. "
Namun, bahkan situs yang sah pun akan berjuang untuk menghasilkan banyak uang dari penambangan dan beberapa telah dengan cepat menjatuhkan teknologinya karena laba atas investasi tidak sebanding dengan kerumitannya. "Kami mencoba menempuh rute itu (dengan peringatan penuh di muka untuk orang-orang, dan tombol opt-out permanen tepat di bagian tengah header), untuk membuat pembaca kami tidak harus melihat iklan," kata Škvorc.
"Pada rata-rata 8.000 kunjungan per hari, pembayarannya di bawah $ 4 per bulan. Itu, ditambah dengan fakta bahwa program antivirus banyak orang menjadi gila, dan fakta bahwa itu adalah pengurasan baterai yang sangat besar pada laptop dan perangkat seluler, meyakinkan kami bahwa itu sama sekali tidak sepadan. "
Apa kerusakannya?
Seberapa banyak masalah yang bisa dihadapi para penambang tersembunyi bagi pengguna akhir? Nah, jika situs web atau aplikasi tidak membatasi penggunaan CPU, tekanan pada perangkat keras – dan terutama masa pakai baterai – bisa menjadi dramatis.
"Ini tidak berkelanjutan untuk jangka waktu yang lama," kata Bruno Škvorc dari Bitfalls.com, yang menerapkan versi awal teknologi ini. "Seseorang yang membaca posting selama 10 menit akan memakan 5% baterainya pada efisiensi penambangan 40%." Itu banyak, dan sebagian besar situs lain bahkan tidak berhenti pada 40%, mereka pergi ke 90% +. Kami menggunakan 20% dan memberi tahu orang-orang sebelumnya, dan memberi mereka opsi untuk memilih keluar. "
"Mereka yang mendengarnya dari media arus utama sangat ketakutan," kata Škvorc. "Mereka telah membaca bahwa 'situs bajak laut' menggunakannya dan mereka menambang 'cryptocurrency'." Jadi, pengguna yang tidak tahu lebih baik terkejut dan takut dan berbagai program antivirus berteriak kesakitan dengan positif palsu tidak membantu antara."
Menurut Škvorc, industri antivirus juga dapat meninjau apa yang dilihatnya sebagai ancaman, dengan mengklaim bahwa meskipun alat pertambangan dapat membuat prosesor lapar, mereka tidak jauh lebih buruk daripada banyak iklan yang tidak ditandai. "Sangat lucu bagaimana mereka tidak menandai iklan cookie mencolok sebagai malware, tetapi menggunakan siklus CPU yang kalau tidak akan digunakan oleh JavaScript yang buruk dalam iklan entah bagaimana berbahaya," katanya.
Mengubah taktik
Alat penambangan JavaScript berkembang cepat dalam menanggapi kekhawatiran atas kinerja dan perangkat lunak keamanan yang menandai alat tersebut sebagai malware – dan para pemain utama ingin melegitimasi penambangan yang didistribusikan.
CoinHive, misalnya, telah merilis versi terbaru dari platformnya yang tidak dapat diimplementasikan tanpa terlebih dahulu mendapatkan izin pengguna, tetapi versi mentah, tanpa persetujuan yang diperlukan masih tersedia di situs, meskipun dengan peringatan dari pencipta. "Penambang itu sendiri tidak datang dengan antarmuka pengguna – itu adalah tanggung jawab Anda untuk memberi tahu pengguna Anda apa yang terjadi dan untuk memberikan statistik pada hash yang ditambang," kata perusahaan tentang penambang asli dalam FAQ-nya. "Meskipun dimungkinkan untuk menjalankan penambang tanpa memberi tahu pengguna Anda, kami sangat menyarankan untuk tidak melakukannya. Anda tahu ini."
Nasihat yang bagus, tetapi saran yang mudah diabaikan. "Hal ini sangat baru (dan) tidak ada peraturan, sehingga platform, situs, dan peretas masih berusaha menemukan model yang layak untuk mereka. Tidak dapat dipungkiri mereka semua membuat kesalahan dan belajar," kata Sinegubko. "Ketika hal ini matang, akan ada lebih sedikit ruang untuk penyalahgunaan dan itu akan menjadi lebih jelas apa yang dapat diterima dari penggunaan teknologi ini dan apa yang tidak."
Gambar: Shutterstock
