[Internet] Webseiten missbrauchen Nutzerrechner für Kryptomining

TinyTimm · 04.10.17, 21:33

Zitat:

Eine Schule im Brandenburger Land, The Pirate Bay und etliche Webseiten aus der Alexa-Top-1-Million-Liste schürfen ungefragt Kryptowährungen auf den Rechnern der Nutzer. Der Anbieter Coinhive will das Verfahren künftig anpassen, damit es weniger Ärger gibt.

Immer mehr Webseiten schürfen ungefragt und ohne Kennzeichnung auf Kosten der Nutzer Kryptowährungen wie Monero. Nach einem Testlauf bei der Torrent-Seite The Pirate Bay verschwand der entsprechende Code des Anbieters Coinhive kurzzeitig wieder aus dem Quelltext der Seite, ist aber mittlerweile wieder integriert. Außerdem gibt es zahlreiche Nachahmer. Richtig lohnen dürfte sich das allerdings nur für die wenigsten Seitenbetreiber - den Verlust an Reputation bei den Besuchern dürfte es kaum wiedergutmachen, wenn diese davon Kenntnis erlangen.

Kryptomining im Webbrowser: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Das Kryptomining wird ohne Zutun der Nutzer im Hintergrund aktiviert. Verantwortlich dafür ist ein kleines Javas*****-Element, das von den Webseitenbetreibern eingebaut wird. Um das verteilte Mining zu aktivieren, müssen diese darüber hinaus nicht viel tun. Neben dem Skript selbst müssen sie eine eigene Wallet beim entsprechenden Anbieter einrichten, auf die die Gewinne transferiert werden. Neben Coinhive gibt es weitere Anbieter von Skripten, bislang ist aber keiner so weit verbreitet.

Die Macher bekommen eine Provision

Die Anbieter der Skripte erhalten eine Provision - im Falle von Coinhive 30 Prozent des Ertrags. Damit aber überhaupt nennenswert Gelder zusammenkommen, müssen viele Benutzer viel Zeit auf der Webseite verbringen, im Idealfall mit leistungsfähiger Hardware, um die Hashing-Kapazität zu erhöhen. Wer also vor allem Nutzer mit mobilen Geräten oder Ultrabooks hat, dürfte weitgehend leer ausgehen.

Immer mehr Webseiten versuchen dennoch, auf diesem Weg Einnahmen zu generieren. Nach dem Hinweis eines Lesers konnte Golem.de bestätigen, dass auch die Webseite Quotenmeter.de das entsprechende Skript am vergangenen Freitag zumindest zeitweise nutzte - aber schnell wieder von der Seite entfernte. Geschäftsführer Manuel Weis sagte im Gespräch mit Golem.de, es habe sich lediglich um einen Test gehandelt. Innerhalb weniger Stunden sei das Mining-Tool wieder von der Seite entfernt worden.

Die zugegebenermaßen sehr kurze Erfahrung habe gezeigt, dass sich der Einsatz nicht lohnen würde. Quotenmeter ist nicht die einzige Seite aus Deutschland. Auch die Webseite der Oberschule Werder der Baumblütenstadt Werder im Havelland enthält neben Initiativen gegen Rassismus und dem Hinweis auf die naturwissenschaftliche Orientierung der Schule das Mining-Tool. Ob die Schule selbst es eingebaut hat oder Schüler sich einen Scherz erlaubt haben, ist derzeit unklar, wir haben um Stellungnahme gebeten.

Der Code wurde nicht nur in Webseiten, sondern auch in verschiedenen Tor2Web-Proxys entdeckt, die Hidden Services auch ohne Tor-Browser aus dem normalen Internet verfügbar machen, etwa onion.rip. Auch Anbieter kostenfreier VPN-Dienste könnten versuchen, auf diese Art und Weise Geld zu verdienen. Hier dürften die durchschnittlichen Verbindungszeiten pro Nutzer länger sein als bei den meisten Webseiten und der Ertrag damit etwas höher.

Auch der US-Pay-TV-Sender Showtime band das Miningtool in seine Seite ein. Nach Protesten wurde es mittlerweile entfernt. Ein Scan des Sicherheitsforschers mit dem Pseudonym Paul Sec zeigt, dass mindestens 380 Seiten aus den Alexa Top 1 Million ebenfalls Coinhive integriert haben.

Das Problembewusstsein bezüglich ungefragten Minings scheint bei einigen Betreibern gering zu sein. Doch das Coinhive-Tool erhöht die CPU-Auslastung der Nutzer enorm. Gerade beim mobilen Betrieb eines Rechners geht das auf die Akkulaufzeit, je nach Leistungsreserve könnte im Desktopbetrieb auch die Leistungsaufnahme des Rechners steigen. Je nach CPU dürfte das Miningtool rund 30 Prozent der verfügbaren Leistung beanspruchen.

Coinhive könnte nach derzeitigem Stand 9 Millionen US-Dollar einnehmen

Anders als für individuelle Betreiber könnte sich das Mining für Coinhive lohnen. Der Gründer von Coinmetrics.io, Nic Carter, weist darauf hin, dass der Anbieter derzeit rund fünf Prozent der weltweiten Monero-Hashpower auf sich vereinige. Bei dem projizierten Mining-Volumen könnte das Unternehmen mit der Kommission von 30 Prozent auf Einnahmen bei den aktuellen Preisen Einnahmen von rund 9,3 Millionen US-Dollar pro Jahr erzielen.

Kryptomining lohnt sich in Deutschland auf Grund der hohen Strompreise nur selten, wenn die verbrauchte Energie voll bezahlt werden muss. Viel Mining findet daher in Ländern mit regulierten und subventionierten Strompreisen statt, etwa in China und Venezuela. Die chinesische Regierung ist in den vergangenen Wochen jedoch massiv gegen Bitcoinbörsen und andere Kryptowährungen vorgegangen.

Nutzer können Mining unterbinden

Das ungewollte Mining kann auf unterschiedliche Art und Weise verhindert werden. Die radikalste Lösung ist, die Ausführung von Javas***** im Browser komplett zu unterbinden. Das blockiert natürlich zahlreiche Funktionen und ist nicht für alle Nutzer sinnvoll.

Einige Adblocker wie Adblock Plus haben die entsprechende Domain bereits blockiert. Wenn sich die Domain ändert oder ein anderes Tool eingesetzt wird, hilft das natürlich nicht. Es gibt außerdem ein Plugin für verschiedene Browser, das aber auch nur die aktuelle Domain blockiert.

Die Macher des Tools sind von ihrem Erfolg offenbar überrascht. Die vergangenen Tage seien eine Mischung aus "purer Aufregung und blankem Terror" gewesen, heißt es in einem Blogpost. Am 14. September, als die Nutzungskurve erstmals steil anstieg, habe es einen "Oh Shit!"-Moment gegeben. In nur einer Woche sei das Unterfangen von einem "einzigen, einsamen Server" zu einem Projekt mit 28 Web-Socket-Proxys, sechs vollwertigen Servern und zwei virtuellen Servern für Wartungsarbeiten geworden.

Coinhive will eine Alternative zu Werbung anbieten

Coinhive will mit dem Tool nach eigenen Angaben eine Alternative zu "nervigen Werbeanzeigen" anbieten. Die Einnahmen seien für die Betreiber "einfach vorherzusagen", eine Ausschüttung finde zwölfmal am Tag statt. Coinhive nehme Einnahmen nicht "monatelang in Geiselhaft", wie es einige Werbenetzwerke täten. Mit einer erweiterten API soll es künftig möglich sein, besondere Anreize zum Mining zu setzen und somit ein "ehrlicheres Verhältnis" zu den Nutzern herzustellen.

Künftig sollen Nutzer außerdem nicht mehr ungefragt zum Schürfen missbraucht werden. Coinhive schreibt: "Es ist wohl zu spät, um irgendetwas in Verbindung mit den Adblockern zu tun, die unser derzeitiges Javas***** vom Laden abhalten. Alternativ werden wir unsere Anstrengungen für eine neue Implementierung bündeln, die ein explizites Opt-in von den Nutzern einfordert, bevor diese am Mining teilnehmen."

Es soll dann für Webseitenbetreiber nicht möglich sein, dieses Opt-in zu umgehen. Für Nutzer ist das natürlich eine gute Nachricht. Bei einem Opt-in-Modell dürfte sich die Einbindung des Skripts für die meisten Webseitenbetreiber allerdings erst recht nicht mehr lohnen. Und auch das endgültige Einkommen von Coinhive wird am Ende wohl deutlich niedriger ausfallen als derzeit geschätzt.

Quelle: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]