Billede: Flavio Takemoto, FreeImages.com

At skabe nyt malware tager tid. Et nyt alternativ er nu tilgængeligt for malware-udviklere, i form af JavaScript-biblioteket Coinhive, der muliggør mining af kryptovalutaen Monero direkte i browseren.

De kompromitterede websites der tidligere er blevet brugt til at sprede malware, inficeres nu i stedet med Coinhive, der får alle besøgende til at bruge CPU-tid til at mine kryptovaluta til bagmændene.

Strategien er blevet døbt cryptojacking, og både AdBlock Plus og AdGuard er allerede ude og blokere for Coinhive-scriptet.

Udviklerne bag Coinhive udtaler i et blogindlæg:

Vi er triste over at se, at nogle af vores kunder integrerer Coinhive på deres sites uden at oplyse brugerne om, hvad der foregår, eller bede om deres tilladelse

Også malware der miner kryptovaluta stiger i udbredelse. Ifølge Kaspersky har der de seneste 8 måneder været 1,65 millioner computere inficeret med malware, der udvinder kryptovaluta i det skjulte.

Redaktør: jakobdam   |   Indsendt af: thimon   |   0   |   1795

Billede: Flavio Takemoto, FreeImages.com

Et hollandsk forskerteam ved navn VUSec har opdaget en måde at gøre hacking både nemmere og farligere - ved hjælp af et javascript, der blot kræver at man besøger et website der afvikler dette javascript.

Alle moderne operativsystemer, inklusive Windows, macOS, Linux og Android, foretager en tilfældig allokering i hukommelsen af en enhed, for kørende programmer.

Dette sker som del af sikkerhedsforanstaltningerne, og det betyder at selvom hackere formår at få deres onsindede kode til at køre på en given enhed, så ved de ikke hvor i hukommelsesregistret den befinder sig.

Det svarer med andre ord til at begå indbrud i et hus i totalmørke.

VUSec's teknik tænder dog lyset, så at sige, idet den skaber en "Du Er Her"-agtig indikator, som hackere kan bruge til at orientere sig selv med i en fremmed computer.

Det betyder at alle de almindelige hukommelsesfejl der findes på daglig basis, potentielt kan bruges til en langt dybere overtagelse af en given PC eller smartphone.

» Læs mere   |   Redaktør: jakobdam   |   Indsendt af: thimon   |   0   |   1821

Billede: wordpress

Automaticc som står bag WordPress, har relanceret WordPress.com med et helt nyt site der bygget op fra bunden i JavaScript og med API-kald - og alt er open source.

Der er desuden kommet en officel desktop app til Mac OS X, og både Windows- og Linuxudgaver kommer snart.

Admindesignet er simplificeret og moderniseret, så brugere af CMS'et får et nemmere overblik.

Redaktør: jakobdam   |   Indsendt af: jakobdam   |   0   |   2464

Billede: Flavio Takemoto, FreeImages.com

I anledning af MobilePwn2Own har Quihoo 360 forsker Guang Gong, fremvist et exploit i Chrome der kan kompromittere selv de nyeste og mest opdaterede Androidenheder (i.e. Nexusenhederne), ved at brugeren blot besøger et inficeret website.

Det der er specielt her, er at der er tale om et enkelt exploit der muliggør dette, fremfor en række forskellige, der tilsammen medfører resultatet.

Det er en sårbarhed i JavaScript v8 der udnyttes, og PacSec vil nu belønne Guang Gong til CanSecWest sikkerhedskonferencen og en skitur i marts 2016. Derudover vil Google formentligt også udbetale en belønning til Guang Gong.

Sårbarheden tog forskeren 3 måneder at opdage og få helt på plads, og ved fremvisningen gik alt skræmmende glat og nemt. Her besøgte en Nexus enhed en given webadresse, og efterfølgende kunne Guang Gong kontrollere alt på enheden.

Eftersom sårbarheden ligger i JavaScript v8, kan den ramme alle Androidenheder.

Redaktør: jakobdam   |   Indsendt af: thimon   |   0   |   2397

Billede: Google

Google er klar med planer til et nyt initiativ der skal gøre nettet hurtigere på mobilen. Initiativet kalder de Accelerated Mobile Pages (AMP), hvilket er et open-source projekt som begrænser visse elementer af HTML, CSS og JavaScript for at skabe en mere strømlinet oplevelse på nettet med øjeblikkelig hentning af sider på mobile platforme. Ved tidlige test har Google observeret en forbedring mellem 15 og 85 procent på en simuleret 3G forbindelse.

Bag ideen ligger en minimering af HTTP kald, hentning af billeder når de skal vises. Både JavaScript og CSS vil blive begrænset, f.eks. vil elementer som animationer blive fjernet og stylesheets må ikke overskride 50.000 bytes.

Et tidligt udkast til AMP specifikationerne kan findes på GitHub og Google har større sider som Buzzfeed og The Huffington Post bag sig, samt CMS platformen WordPress. 

Redaktør: stig.voss   |   Indsendt af: thimon   |   0   |   2641