Les pirates pourraient-ils transformer votre téléviseur en un mineur de Bitcoin zombie ?

Des pirates pourraient-ils forcer votre navigateur web à extraire des bitcoins ? Et votre téléviseur ? Des failles de sécurité dans certains systèmes pourraient le rendre possible, affirment les experts.

Des chercheurs allemands ont découvert une faille dans les téléviseurs Hybrid Broadcast Broadband TV (HbbTV) qui pourrait permettre à un attaquant d'exécuter du code malveillant, y compris des mineurs de Bitcoin , selon un rapport.

Ces appareils font partie d'un nombre croissant de téléviseurs intelligents, toujours connectés à Internet et accédant à des services en ligne en plus de la télévision numérique, pour améliorer l'expérience de visionnage. L'étude a été menée par Marco Ghiglieri, Florian Oswald et Erik Tews de l'Université technique de Darmstadt. Martin Herfurt du cabinet de conseil allemandNrunsLes téléviseurs Samsung concernés ont également été explorés. Ils présentaient des failles permettant aux pirates d'injecter leur propre contenu.

Ce problème s'est déjà produit avec d'autres téléviseurs Samsung. Certains pensent qu'il est possible d'exécuter des mineurs de Bitcoin sur des appareils piratés comme ceux-ci.

« C'est tout à fait possible, et certaines Smart TV ont été piratées à distance », a déclaré Sergio Lerner, expert en cryptographie et sécurité, PDG de la société argentine Certimix, qui participe aux tests de failles de sécurité du protocole Bitcoin .

Le rapport de SC Magazine soutient qu'un mineur JavaScript basé sur un navigateur, tel que Bitcoin Plus, pourrait être utilisé pour manipuler les navigateurs de téléviseurs intelligents afin de miner des cryptomonnaies. Ce logiciel utilise un LINK vers un fichier JavaScript distant, contenu dans un code pouvant être intégré à n'importe quelle page web (il existe également un plugin WordPress). Les ordinateurs visitant une page contenant ce code seront incités à miner les cryptomonnaies, les envoyant à l'adresse du propriétaire de la page.

Nous avons vu d'autres personnes utiliser l'idée du JavaScript intégré pour « voler » la puissance du processeur des ordinateurs en visite. Une équipe de programmeurs avisés a créé Smidge, une Technologies qui répartit les problèmes entre plusieurs ordinateurs visitant un même site web. Ils l'utilisent actuellement pour résoudre des problèmes d'échecs, mais un mineur de Bitcoin distribué en ligne T saurait tarder. dit ONEun.

Utiliser de nombreux ordinateurs pour exécuter vos ordres sans votre consentement est appelé « brouillage » ; un réseau de ces machines zombies est appelé « botnet ». On pourrait peut-être appeler cette même technique de minage de bitcoins « bitherding ». Un tel réseau serait un « bitnet ».

« Je suppose que vous pouvez utiliser à peu près n'importe quel système et n'importe quel matériel pour miner des bitcoins, c'est juste une question d'efficacité », explique Claudio Guarnieri, chercheur à la société de sécurité Rapid7, qui aexploréDes bitnets comme Skynet par le passé. Ces attaques impliquent généralement l'installation de logiciels malveillants sur une machine, tandis que ces attaques utilisent JavaScript non pas pour installer un logiciel malveillant, mais simplement pour permettre à la victime d'effectuer des calculs gratuits.

Le problème avec le bitherding utilisant la puissance du processeur, c'est qu'il en faut une quantité limitée, souligne Guarnieri, en désaccord avec Nadolny. « Les deux cas que vous avez cités sont des hacks intéressants, mais ils ne constitueront jamais une méthode rentable pour miner des bitcoins : utiliser JavaScript serait tout simplement trop lent. »

Skynet comptait entre 150 000 et 200 000 hôtes, ce qui était relativement fructueux, a-t-il déclaré. Lerner est du même avis. « Une Smart TV serait un mineur de Bitcoin très lent, et il faudrait des milliers de téléviseurs pour générer des revenus significatifs. Ce n'est pas une bonne source de revenus », affirme-t-il.

Ce serait très lent. Un Intel Core2 Duolivrerenviron 2,5 mégahashs/sec, ce qui signifie que vous auriez besoin de 240 de ces utilisateurs pour visiter votre site pour égaler le taux de hachage d'un AMD 7970.

Cela dit, il n'est T impossible de contrôler un GPU à partir d'une page web, augmentant ainsi la puissance de calcul. WebGL, le langage graphique web conçu pour les graphismes en ligne hautes performances, a été utilisé pour créer exemples accélérés par le matériel.

Vous auriez peut-être plus de chances de réussir avec une monnaie basée sur Scrypt, compatible avec les processeurs et les cartes graphiques, et dont la plupart ont un taux de hachage plus faible. Le taux de hachage normal actuel de Feathercoin est d'environ 660 mégahashs/s, ce qui rend ces 240 processeurs beaucoup plus faciles à gérer.

Cela suppose que ces visiteurs involontaires ne font rien d'autre avec leur ordinateur et restent sur votre site web. Mais alors, comment inciter les visiteurs à rester sur la page ? Il faudrait des taux de visites constants et soutenus, avec des visiteurs qui maintiennent la page ouverte, pour que le minage fonctionne. C'est acceptable si vous recrutez un groupe de bénévoles (auquel cas, il ne s'agit T d'un Bitnet, mais d'une communauté). C'est moins vrai si vous essayez de tromper les gens en les incitant à miner via un navigateur.

Vous devriez l'intégrer sur un site très populaire, et si vous êtes de toute façon le genre de personne à être un bon gardien, vous infecteriez probablement les ordinateurs des visiteurs avec un téléchargement furtif, afin qu'ils puissent miner sans le savoir même lorsqu'ils sont hors du site.

La manière la plus appropriée de monter une attaque de type « bitherding » serait de compromettre directement une machine et de lui faire utiliser son GPU, convient Guarnieri. « De nombreux botnets installent des mineurs de Bitcoin . Dans la plupart des cas, ils intègrent simplement un client de minage légitime, comme Ufasoft un« , dit-il.

Alternativement, vous pourriez cibler des systèmes optimisés pour le jeu, plus susceptibles d'utiliser des logiciels optimisés pour les graphismes, réputés pour leurs taux de hachage élevés. C'est exactement ce que propose leAssociation du divertissement e-sport (EASA) L'entreprise a effectivement intégré <a href="http://paritynews.com/web-news/item/1034-esea-league-stuffed-bitcoin-mining-code-inside-client-software">http://paritynews.com/web-news/item/1034-esea-league-stuffed-bitcoin-mining-code-inside-client-software</a> , un logiciel de minage de Bitcoin à son logiciel client – ​​prétendument un poisson d'avril – et a irrité ses utilisateurs. Le client était conçu pour empêcher les autres joueurs de tricher pendant les parties en ligne, mais l'entreprise a inclus le code de minage de Bitcoin comme un bonus secret, avant de retirer le correctif quelques semaines plus tard en réponse aux plaintes des utilisateurs.

En bref, pirater des téléviseurs pour miner des bitcoins, ou tromper des ordinateurs de manière malveillante pour qu'ils les minent simplement en visitant un site web, est une proposition trompeuse. Il existe des moyens bien plus simples de forcer secrètement des personnes à miner vos cryptomonnaies à Pour vous. Mais si vous souhaitez mobiliser une équipe de bénévoles non techniques pour miner sciemment des cryptomonnaies basées sur Scrypt pour une bonne cause, cette idée pourrait bien être pertinente.