Könnten Angreifer meinen Webbrowser für Bitcoins nutzen? Was ist mit deinem Fernseher? Sicherheitsmängel in einigen Systemen könnten dies ermöglichen, sagen Experten.

Deutsche Forscher haben einen Fehler bei Hybrid Broadcast Broadband TV (HbbTV) -Fernsehgeräten entdeckt, die es Angreifern ermöglichen könnten, bösartigen Code auszuführen, darunter Bitcoin-Minenarbeiter, heißt es in einem Bericht.

Diese Geräte gehören zu einer wachsenden Anzahl von Smart TVs, die immer mit dem Internet verbunden sind und zusätzlich zu digitalem Fernsehen auf Online-Dienste zugreifen, um das Seherlebnis zu verbessern. Die Forschung wurde von Marco Ghiglieri, Florian Oswald und Erik Tews von der Technischen Universität Darmstadt durchgeführt. Auch Martin Herfurt von der deutschen Beratungsfirma Nruns erkundete die fraglichen Samsung-Fernseher. Sie wiesen Fehler auf, durch die Angreifer ihren eigenen Inhalt einschleusen konnten.

Dies ist zuvor bei anderen Samsung-Fernsehern passiert. Einige glauben, dass es möglich ist, Bitcoin-Miners auf gehackten Geräten wie diesen laufen zu lassen.

"Es ist absolut möglich, und einige Smart-TVs wurden remote gehackt", sagte der Kryptografie- und Sicherheitsexperte Sergio Lerner, CEO der argentinischen Firma Certimix, der Sicherheitslücken im Bitcoin-Protokoll testet.

Der Bericht des SC Magazine argumentiert, dass ein browserbasierter JavaScript Miner, wie Bitcoin Plus, verwendet werden könnte, um Smart-TV-Browser für das Mining nach Münzen zu manipulieren. Diese Software verwendet einen Link zu einer entfernten JavaScript-Datei, die in Code enthalten ist, der in jede Webseite eingebettet werden kann (es gibt auch ein WordPress-Plugin). Computer, die eine Seite mit dem Code besuchen, werden überredet, mit dem Abbau der Münzen zu beginnen und sie an die Adresse des Seiteninhabers zu senden.

Wir haben gesehen, wie andere die Idee von eingebettetem JavaScript nutzen, um CPU-Leistung von Computern zu "stehlen". Ein kluges Team von Programmierern hat Smidge entwickelt, eine Technologie, die Probleme zwischen vielen Computern teilt, die eine einzelne Website besuchen. Sie benutzen es, um Schachprobleme jetzt zu lösen, aber ein webbasierter verteilter Bitcoin Miner kann sicherlich nicht weit weg sein, sagt einer.

Die Verwendung von vielen Computern, um ohne Zustimmung Ihre Gebote abzugeben, wird als "Belästigung" bezeichnet - und ein Netzwerk dieser Zombie-Computer wird als Botnet bezeichnet. Vielleicht sollten wir die gleiche Technik für das Bitholen von Bitcoins verwenden. Und solch ein Netzwerk wäre ein Bitnet.

"Ich gehe davon aus, dass Sie mit Bitcoins so ziemlich jedes System und jede Hardware nutzen können, es ist nur eine Frage der Effizienz", sagt Claudio Guarnieri, Forscher bei der Sicherheitsfirma Rapid7, der in der Vergangenheit Bitnets wie Skynet erforscht hat. Bei diesen Angriffen handelt es sich in der Regel um Malware, die auf einem Computer gespeichert ist. Bei diesen Angriffen wird JavaScript jedoch nicht dazu verwendet, Malware zu installieren, sondern lediglich, um dem Opfer eine freie Berechnung zu ermöglichen.

Das Problem beim Bitharding mit CPU-Power ist, dass Sie nur so viel davon brauchen, zeigt Guarnieri auf und widerspricht Nadolny. "Beide Fälle, die Sie angegeben haben, sind interessante Hacks, aber sie werden niemals eine profitable Methode sein, Bitcoins zu minen: JavaScript wäre einfach zu langsam. "

Skynet hatte zwischen 150.000 und 200.000 Hosts, und das war relativ erfolgreich, sagte er. Lerner stimmt zu. "Ein Smart-TV wäre ein sehr langsamer Bitcoin-Miner, und man braucht Tausende von Fernsehern, um etwas Sinnvolles zu verdienen. Keine gute Einnahmequelle ", behauptet er.

Es wäre sehr langsam. Ein Intel Core2 Duo wird etwa 2. 5 Megahashes / Sek. Liefern, was bedeutet, dass Sie 240 dieser Benutzer besuchen müssen, um die Hash-Rate eines AMD 7970 zu erreichen.

Das heißt, es ist nicht außerhalb der Bereich der Möglichkeit, eine GPU mit einer Webseite zu steuern und die Rechenleistung zu erhöhen. WebGL, die webbasierte Grafiksprache, die für leistungsstarke Online-Grafiken entwickelt wurde, wurde für die Erstellung von hardwarebeschleunigten Beispielen verwendet.

Sie haben möglicherweise eine größere Chance, dass dies mit einer Scrypt-basierten Währung funktioniert, die CPU- und GPU-freundlich ist und von denen viele eine niedrigere Hash-Rate haben. Feathercoins aktuelle normale Hash-Rate beträgt etwa 660 Megahash / Sek., Wodurch diese 240 CPUs viel leichter zu handhaben sind.

Das setzt voraus, dass diese unwissenden Besucher nichts anderes mit ihrem Computer machen und auf Ihrer Website bleiben. Aber wie bringt man Leute dazu, auf der Seite zu bleiben? Sie benötigen konstante, konstante Trefferquoten, bei denen die Leute die Seite offen halten, damit der Bergbau funktioniert. Das ist in Ordnung, wenn Sie eine Gruppe von Freiwilligen anwerben (in diesem Fall ist es kein Bitnet, es ist eine Gemeinschaft). Weniger, wenn Sie versuchen, Leute in browserbasiertes Mining zu täuschen.

Sie müssten dies auf einer sehr populären Seite einbetten, und wenn Sie der Typ von Person sind, die sowieso bithert, würden Sie wahrscheinlich die Computer der Besucher mit einem Drive-by-Download infizieren, so dass Sie das haben könnten sie sind unwissentlich, auch wenn sie nicht auf der Baustelle sind.

Die beste Methode, einen Bithering-Angriff zu starten, wäre, eine Maschine direkt zu kompromittieren und ihre GPU verwenden zu lassen, stimmt Guarnieri zu. "Es gibt Unmengen von Botnets, die Bitcoin-Miners fallen lassen. In den meisten Fällen haben sie nur einen legitimen Mining-Client wie den von Ufasoft integriert", sagt er.

Alternativ könnten Sie auf spielegoptimierte Systeme abzielen, bei denen die Art von grafikfreundlicher Software wahrscheinlich für hohe Hash-Raten bekannt ist. Dies ist genau das, was die E-Sports Entertainment Association (EASA) tat, als sie Bitcoin Mining-Software in ihre Client-Software integrierte - angeblich als Aprilscherz - und ihre Benutzer irritierte. Der Client wurde entwickelt, um zu verhindern, dass andere Spieler während Online-Spielen betrügen, aber die Firma hat den Bitcoin-Mining-Code als verstecktes Extra hinzugefügt, bevor sie das Patch einige Wochen später als Reaktion auf Nutzerbeschwerden herauszog.

Kurz gesagt: Hacker, die versuchen, Bitcoins zu minen oder Computer täuschend zu betrügen, um sie einfach durch den Besuch einer Website zu gewinnen, sind ein trügerischer Vorschlag.Es gibt viel einfachere Wege, um die Leute heimlich dazu zu bringen, Ihre Münzen für Sie zu gewinnen. Aber wenn Sie ein Team von nicht-technischen Freiwilligen dazu bringen wollten, Scrypt-basierte Währungen wissentlich für einen guten Zweck zu gewinnen, könnte diese Idee nur Beine haben.