新闻网址:http://www.ithome.com.tw/news/116945
不只海盗湾暗藏采矿程式,Chrome扩充程式SafeBrowse也有!
Bleeping Computer发现Chrome扩充程式SafeBrowse在最新的3.2.25版本中嵌入了挖矿程
式,在使用者未察觉下偷偷挖矿,经测试会耗用60%的CPU资源,目前该扩充程式已被下架
。
文/陈晓莉 | 2017-09-20发表
继全球最大BT网站海盗湾(The Pirate Bay)被爆暗藏加密货币Monero采矿程式之后,本
周再有媒体踢爆免费的Chrome扩充程式SafeBrowse也做了同样的事。
SafeBrowse为一广告封锁程式,可替使用者过滤广告网站或跳过所造访网站的广告内容,
迄今有超过13万Chrome用户安装了该程式,且评价超过4颗星,最近的一次更新为本周二
(9/19)所释出的3.2.25版。
Bleeping Computer发现,SafeBrowse作者在最新的3.2.25中嵌入了Coinhive所打造的
JavaScript Miner,与海盗湾的作法如出一辙。且因Chrome会自动更新扩充程式,因此大
多数的SafeBrowse都会自动更新到含有采矿程式的版本。
根据Bleeping Computer的测试,执行SafeBrowse之后,它消耗了60%的CPU资源。
目前SafeBrowse已遭Google下架。有趣的是,SafeBrowse团队向Bleeping Computer及
Google喊冤,宣称他们已经好几个月没有更新该程式,完全不知道发什么事,显然是被骇
了。日前才传出骇客锁定Chrome扩充程式的开发人员进行网钓攻击,在取得开发人员帐号
之后挟持扩充程式并嵌入广告机制,惟目前并不确定SafeBrowse是否也是受害者之一。
尽管不论是海盗湾或SafeBrowse都是采用Coinhive所打造的JavaScript Miner,但
Coinhive指出,向使用者揭露采矿行为是网站或程式的责任,虽然该采矿程式可在不知会
使用者的状态下执行,但他们强烈建议用户对使用者坦白,因为短暂的获利远不及长期的
忠诚度来得重要。
至于海盗湾也在事件爆发后发表声明,表示这只是该站的一项测试,主要是因为他们想摆
脱广告,却又需要资金来支持该站的运作,并欢迎用户提出各种意见,看是要看广告还是
贡献一些CPU资源;此外,海盗湾也澄清,JavaScript Miner只会使用20到30%的CPU资源
,而非外界所报导的所有CPU资源。
2014年现身的Monero被视为是比比特币(Bitcoin)更具隐匿性的加密货币,为暗网中的
新兴货币,今日的价格为95.98美元,在加密货币市场的身价与交易量都排行第九。