翻译:360代码卫士
提交方式:发送邮件至林微#360.cn,或登录网页在线提交。
扩展Chrome SafeBrowse存在挖掘行为。
扩展Chrome SafeBrowse拥有14万用户,其作者在扩展中的代码中嵌入了JavaScript库,在未经用户同意的情况下,利用用户的电脑挖掘门罗币。
这些额外的代码耗尽了用户的CPU,使用户的计算机速度变慢,难以使用。
SafeBrowse使用的是海盗湾验证过的技术。
这种入侵和破坏行为几乎可以立即被检测到,因为这个扩展的Web商店页面的前几个小时充满了关于CPU资源使用率突然增加的负面评论。
在查看SafeBrowse扩展的源代码后,任何人都可以很容易地看到,该扩展的作者嵌入了Coinhive JavaScript Miner,这是一种在浏览器中执行的CryptoNight挖掘算法,被各种基于CryptoNote的加密货币使用,如Monroe Coin、Dashcoin、DarkNetCoin等。
截至记者发稿时,Coinhive JavaScript Miner网站指出仅支持门罗币矿。
上面的代码会启动一个进程,一直在浏览器后台运行,利用用户资源挖掘门罗币,但获得的利益归SafeBrowse作者所有。
受影响的用户包括所有安装了SafeBrowse扩展的用户。此版本上的Coinhive矿机版本为3.2.25。Chrome extension使用自动更新系统,因此大多数SafeBrowse用户将在未来几小时或几天内更新到该版本。
SafeBrowse在《海盗湾》使用了相同的技术而不是在网站上显示广告后,增加了Coinhive JavaScript Miner。上周六访问“海盗湾”的用户没有发现网站上有任何广告,但网站竟然在浏览器中加载了一个JavaScript文件,以挖掘种子门户所有者的门罗币。
SafeBrowse扩展降低了用户计算机的性能。
测试该扩展后发现,在Windows任务管理器和资源监控应用中,门罗币挖矿操作清晰可见,安装后立即增加CPU资源占用。
在Chrome的内置任务管理器中,你也可以看到这种CPU使用率的突然增加。结果显示,扩展进程占用了60%的CPU资源。
测试机立即感受到了冲击。安装此扩展后,任务管理器本身会停止并进入“无响应”状态。测试机变得很慢,当Chrome浏览器恢复运行时,这个扩展继续挖掘门罗币。
难怪扩展消息部分全是负面评论。一名Reddit网站用户目前正在劝说其他用户将SafeBrowse扩展作为恶意软件报告给Chrome网络商店管理员。
这不是第一次有猫腻了。
在撰写本文时,用户仍然可以从网络商店下载SafeBrowse扩展,但在其隐私政策或官方网站中并未提及更新版本和Coinhive代码。
这并不是SafeBrowse扩展第一次被曝光。2015年11月,来自Detectify实验室的研究人员发现,SafeBrowse和其他Chrome扩展在未经用户同意的情况下加载了分析代码来跟踪用户活动。
针对门罗币挖矿功能,SafeBrowse团队回应道,“很遗憾我们并不知道这件事。很明显,这是一起黑客事件。我目前正在进行研究,我已经联系了谷歌团队。这个扩展已经几个月没有更新了,所以我不知道发生了什么。”