导语:最近,Chrome扩展SafeBrowse被发现其作者在这个扩展程序的代码中嵌入了一个JavaScript库,使得其可以使用用户的计算机进行Monero币的挖矿,并且没有事先征得用户的同意。

SafeBrowse是一款Chrome扩展程序,拥有超过14万用户,然而最近SafeBrowse却被发现其作者在这个扩展程序的代码中嵌入了一个JavaScript库,使得其可以使用用户的计算机进行Monero币的挖矿,并且没有事先征得用户的同意。

毫无疑问,这些额外的挖矿代码会把CPU利用率推到顶,然后用户电脑就会变慢变得非常难用。

也正因为如此,作者加入的代码很快就被发现了,我们可以看到Web Store页面在过去几个小时内已经填满了负面评论,用户们都抱怨CPU使用率上升。而遏制CPU去查看SafeBrowse扩展的源代码,可以很容易地发现它的作者嵌入了Coinhive JavaScript Miner,这是通过使用CryptoNight挖掘算法的浏览器来实现的加密货币,常见的比如Monero,Dashcoin,DarkNetCoin等。

1.png

在撰写本文时,Coinhive JavaScript Miner(如其网站所述)仅支持Monero采矿。

2.png

上述代码启动了一个可以在浏览器中运行的程序,并通过用户的资源为挖掘Moner提供了动力,也为SafeBrowse作者的提供了利润。

受影响的用户毫无疑问是安装了SafeBrowse扩展的所有人,目前拥有Coinhive挖矿程序的版本是3.2.25。而由于Chrome扩展程序使用自动更新机制,所以大多数SafeBrowse用户将会在未来几个小时和几天内更新为此版本。

海盗湾之前也使用了类似的方法作为网页广告的替代方式。上周六访问过海盗湾的用户没有在网站上看到广告,但网站在浏览器中加载了一个JavaScript文件,然后就可以利用用户来挖取Monero货币。

滥用用户电脑性能

我们利用计算机测试了这个扩展程序,Monnet挖掘操作在Windows任务管理器和资源监视器应用程序中清晰可见,而且在安装后就会立即加快CPU的使用。

从Chrome的内置任务管理器可以看到CPU使用率相同的峰值,并且显示扩展的进程占用了超过60%的CPU资源。

3.png

对于测试给计算机产生的影响我们能很快就感受到。安装扩展后,任务管理器本身会冻结并进入不响应状态。这样计算机会变得迟钝,而SafeBrowse Chrome扩展程序在Chrome浏览器启动并运行时,随时都会继续进行Monero挖掘。

已经不是第一次了

在撰写本文时,SafeBrowse扩展程序仍然可以通过应用商店进行下载,其隐私政策或官方网站也不提供最近更新和添加Coinhive代码的任何内容。

4.png

事实上,这已经不是SafeBrowse第一次作恶了。早在2015年11月,Detectify Labs的研究人员发现,SafeBrowse以及许多流行的Chrome扩展程序,无需同意就会加载并分析代码,以便在网上跟踪用户。

在我们的努力下,SafeBrowse团队向我们提供了关于扩展Monero挖掘功能的声明:

显然这是一个黑客所为,但不幸的是,我们没有他的任何信息。 目前我们正在研究,并联系Google团队进行协商。而由于扩展程序还没有收到最近几个月更新的内容,所以我们暂时也不确定当前的情况。

虽然大多数用户都知道如何删除Chrome扩展程序,但是如果确实比较生疏,那么需要我们帮助删除SafeBrowse扩展名的用户,可以查阅我们提供的指南

源链接

Hacking more

...