Могут ли хакеры превратить ваш телевизор в зомби-майнер Bitcoin ?

Могут ли злоумышленники заставить ваш веб-браузер добывать биткоины? А как насчет вашего телевизора? Недостатки безопасности в некоторых системах могут сделать это возможным, говорят эксперты.

Немецкие исследователи обнаружили уязвимость в телевизорах Hybrid Broadcast Broadband TV (HbbTV), которая может позволить злоумышленнику запустить вредоносный код, включая майнеры Bitcoin , сообщает The Guardian. ONE отчет.

Эти устройства входят в число растущего числа Smart TV, всегда подключенных к Интернету и получающих доступ к онлайн-сервисам в дополнение к цифровому телевидению, чтобы улучшить качество просмотра. Исследование было проведено Марко Гильери, Флорианом Освальдом и Эриком Тьюсом из Технического университета Дармштадта. Мартин Херфурт из консалтинговой компании в ГерманииNrunsтакже исследовали телевизоры Samsung, о которых идет речь. В них были обнаружены недостатки, которые позволяли злоумышленникам внедрять собственный контент.

Это уже случалось с другими телевизорами Samsung. Некоторые считают, что на взломанных устройствах вроде этих можно запускать майнеры Bitcoin .

«Это вполне возможно, и некоторые Smart TV были взломаны удаленно», — заявил эксперт по криптографии и безопасности Серхио Лернер, генеральный директор аргентинской компании Certimix, которая занимается тестированием уязвимостей в протоколе Bitcoin .

В отчете журнала SC Magazine утверждается, что браузерный майнер JavaScript, такой как Bitcoin Плюс, может быть использован для манипулирования браузерами смарт-ТВ для добычи монет. Это программное обеспечение использует LINK на удаленный файл JavaScript, содержащийся в коде, который может быть встроен в любую веб-страницу (есть также плагин Wordpress). Компьютеры, посещающие страницу с кодом, будут убеждены начать добычу монет, отправляя их на адрес владельца страницы.

Мы видели, как другие использовали идею встроенного JavaScript для «кражи» мощности ЦП у компьютеров посетителей. ONE сообразительная команда программистов создала Smidge, Технологии , которая разделяет задачи между множеством компьютеров, посещающих один веб-сайт. Сейчас они используют ее для решения шахматных задач, но распределенный майнер Bitcoin на веб-основе наверняка T за горами, говорит ONE.

Использование большого количества компьютеров для выполнения ваших поручений без согласия известно как докучливость, а сеть этих зомби-машин называется ботнетом. Возможно, нам следует назвать ту же технику для майнинга биткойнов битердингом. И такая сеть будет битнетом.

«Я предполагаю, что для майнинга биткоинов можно использовать практически любую систему и любое оборудование, вопрос только в эффективности», — говорит Клаудио Гуарньери, исследователь из компании Rapid7, занимающейся безопасностью,исследовалbitnets, такие как Skynet в прошлом. Они обычно включают вредоносное ПО, размещенное на машине, тогда как эти «атаки» используют JavaScript не для установки какого-либо вредоносного ПО, а просто для того, чтобы жертва выполнила некоторые бесплатные вычисления.

Проблема битердинга с использованием мощности ЦП в том, что ее нужно слишком много, отмечает Гварнери, не соглашаясь с Надольни. «Оба случая, которые вы указали, — интересные хаки, но они никогда не станут прибыльным способом майнить биткоины: использование JavaScript было бы слишком медленным».

Skynet имел от 150 000 до 200 000 хостов, и это было относительно успешно, сказал он. Лернер соглашается. «Умный телевизор был бы очень медленным майнером Bitcoin , и вам понадобятся тысячи телевизоров, чтобы заработать что-то значимое. Нехороший источник дохода», — утверждает он.

Это будет очень медленно. Intel Core2 Duo будетдоставлятьоколо 2,5 Мегахешей/сек, а это значит, что для достижения хешрейта AMD 7970 ваш сайт должны посетить 240 таких пользователей.

Тем не менее, T исключено, что можно будет управлять графическим процессором с помощью веб-страницы, увеличивая вычислительную мощность. WebGL, веб-графический язык, разработанный для высокопроизводительной онлайн-графики, использовался для создания Примеры с аппаратным ускорением.

У вас может быть больше шансов сделать это с валютой на основе Scrypt, которая дружелюбна к CPU и GPU, и многие из которых имеют более низкую скорость хэширования. Текущая нормальная скорость хэширования Feathercoin составляет около 660 Мегахэшей/сек, что делает эти 240 CPU гораздо более управляемыми.

Это предполагает, что эти ничего не подозревающие посетители не делают ничего другого на своем компьютере и остаются на вашем веб-сайте. Но как тогда заставить людей оставаться на странице? Вам понадобятся устойчивые, постоянные показатели посещаемости, когда люди будут держать страницу открытой, чтобы майнинг работал. Это нормально, если вы привлекаете группу добровольцев (в этом случае это T bitnet, а сообщество). Менее нормально, если вы пытаетесь обманом заставить людей заниматься майнингом через браузер.

Вам нужно будет внедрить это на очень популярный сайт, и если вы относитесь к тому типу людей, которые любят воровать, вы, вероятно, просто заразите компьютеры посетителей скрытой загрузкой, чтобы они могли невольно майнить, даже когда они не на сайте.

Наиболее подходящим способом проведения атаки битердинга было бы напрямую взломать машину и заставить ее использовать свой графический процессор, соглашается Гуарниери. «Существует множество ботнетов, которые сбрасывают майнеры Bitcoin , в большинстве случаев они на самом деле просто встраивают легитимный клиент для майнинга, такой как Уфасофт ONE», — говорит он.

В качестве альтернативы вы бы ориентировались на оптимизированные для игр системы, которые, скорее всего, будут иметь графически дружественное программное обеспечение, известное высокими хэшрейтами. Это именно то, чтоАссоциация киберспортивных развлечений (EASA) сделал, когда он встроил <a href="http://paritynews.com/web-news/item/1034-esea-league-stuffed-bitcoin-mining-code-inside-client-software">http://paritynews.com/web-news/item/1034-esea-league-stuffed-bitcoin-mining-code-inside-client-software</a> программное обеспечение для майнинга Bitcoin в свое клиентское программное обеспечение – якобы в качестве первоапрельской шутки – и раздражал своих пользователей. Клиент был разработан, чтобы помешать другим игрокам мошенничать, пока вы играете в онлайн-игры, но фирма включила код для майнинга Bitcoin в качестве скрытого дополнения, прежде чем удалить патч несколько недель спустя в ответ на жалобы пользователей.

Короче говоря, взлом телевизоров для майнинга биткойнов или злонамеренное обманывание компьютеров для их майнинга просто путем посещения веб-сайта — это благовидное предложение. Есть гораздо более простые способы тайно заставить людей майнить ваши монеты Для вас. Но если вы хотите мобилизовать команду нетехнических добровольцев для сознательного майнинга валют на основе Scrypt ради благого дела, эта идея может иметь под собой почву.