加密貨幣挖礦從去年以來熱潮不斷衰減,但依舊是地下經濟相當倚賴的交易媒介之一,特別是類似 Coinhive 等利用 JacaScript 的方式,使用者只要利用網頁瀏覽器上網即可透過處理器資源進行挖礦作業,也成為不少免費網站除了廣告之外,另一種賴以為生的方式。與廣告不同的是,一般使用者很難去辨別網站是否暗藏挖礦程式,因此明顯的資訊揭露如讀我、終端使用者協議等必須揭露。
在相關線上「被挖礦」事件陸續傳出之後,網際網路安全技術廠商 Symantec,也在 Windows 10 和 Windows 10 S 內部的 Windows Store 應用程式市集,找到 8 款暗藏挖礦動作的程式,均利用 Google Tag Manager 方式向該程式的網域伺服器,下載具備挖礦能力的 JavaScript。經過 Symantec 專家解碼加密後的 http://statdynamic.com/lib/crypta.js,確認該程式碼採用 Coinhive 其中 1 個版本的程式庫,而 Coinhive 專門用來挖掘 Monero 門羅幣(XMR),特點為注重交易的隱密性。
▲Symantec 於 Windows Store 找到的 8 款應用程式均帶有挖礦功能,並未於相關授權條款中揭露此行為。
經過深入研究,Symantec 發現雖然這幾個應用程式發行商和網域名均不相同,但透過 Whois 查詢之後,Domain Name Server 均為 domaincontrol.com,因此研判開發者均為同一人或是同一組織,偽裝成最佳化程式、網路影片下載器、網頁瀏覽器等常用程式吸引使用者下載,且均未在程式的說明或是隱私權條款當中揭露此挖礦行為。
Symantec 目前已通報 Google 與 Microsoft,雙方均已把可疑的程式碼與程式下架,但是此例一開也給予惡意人士新方向,除了直接瀏覽網頁注入 JavaScript 幫忙挖礦之外,Windows Store 應用程式市集也能夠採用類似的手法達成挖礦目的,筆者在此也只能提醒使用者慎選安裝程式,按下「下一步」之前敬請確認再三,應用程式來源與開發商是否值得你信任。
資料來源
Several Cryptojacking Apps Found on Microsoft Store
加入電腦王Facebook粉絲團