Как стать автором
Обновить

Комментарии 15

ну при учете текущих доходностей даже пара десятков ноутбуков намайнят максимум на пару чашек кофе такому хакеру.
А вот если такой фишкой занялась Максима-Телеком в московском метро — это уже совсем другой разговор )) Ну и кстати… а чем не альтернативный вариант платному тарифу без рекламы? Я бы в принципе был не против дать им помайнить в обмен на инет без рекламы. Ну только в контролируемом режиме, типо нажал кнопочку — майнишь, нет рекламы, а батарейка садится — отключил и смотришь рекламу.

захожу в метро, включаю вайфай, вбиваю адрес, ничего не происходит, вбиваю яндекс, долгая загрузка, высвечивается реклама, потом еще одна, потом глюк? и еще 2 рекламы подряд, а тут уже и выходить пора) думаю если жадные провайдеры встроит скрипт майнинга, после небольшой поездки в метро придется заряжать телефон.
P.S. бойкот всем компаниям что покупают рекламу в метро

не будет рекламы — не будет вайфая в метро =) не подключайтесь
Есть платная подписка, в которой реклама не показывается и устройство подключается сразу же. Пользуюсь уже больше года, вполне доволен (хотя иногда приходится промывать мозги техподдержке). Особенно удобно, что стоя на станции успеваешь подключиться к проезжающим поездам — обычный интернет в метро с появлением wifi практически перестал работать и теперь это единственный способ отправить\получить сообщение со станции.
А разве публичные WiFi точки разрешают обмен траффиком между клиентами? Мне казалось, что там по сути много p2p коннектов между клиентами и роутером.
А ничего, что WiFi подвержен MitM т.к. это — беспроводная сеть? Т.е. любой в зоне доступа может эмулировать роутер. Там-же не RSA используется.
>> 2.4. HTTP-сервер
В чем причина использовать socketserver.TCPServer? почему не использовать python -m SimpleHTTPServer?
Чему народ учите?! Сюда же дети заходят! Во-первых, производительность будет ужасная не только потому что это JS и CPU, но и потому что подавляющее большинство популярных сайтов обзавелись к 2018 году HTTPS, с которым такой трюк не прокатит. Во-вторых, зачем городить весь этот велосипедизм с почти полностью вручную построенной атакой MITM? Есть же готовые Ettercap, Bettercap и куча всякий ещё решений (которые скорее всего встроены в Kali Linux). Тот же Ettercap даже реализован в нескольких популярных хакерских приложениях на Android вместе с удобным интерфейсом, через который весь материал статьи можно сжать до описания нескольких касаний по экрану смартфона.
Читать внимательно нужно, речь идет о сети кофеен Starbucks, есстественно там Wireless LAN, к чему ваши высказывания о HTTPS? Покажите пожалуйста как с помощью Ettercap в несколько «касаний/кликов» можно внедрить криптомайнер в HTTP страницу?
Вывод: полное не понимание техники и атаки изложенной в статье.
Так и не понял причём тут уточнение, что речь о Starbucks? Или кофейня требует от клиентов установки своего сертификата, которым подписывает HTTPS трафик и это как-то(как?) даёт возможность снифить HTTPS?
Покажите пожалуйста… в несколько «касаний/кликов»
Мне понадобилось 5 касаний, чтобы дойти досюда:
Скриншот
image
Далее подсовываем в качестве локального файла скрипт-майнер и приложение само и сервер поднимет, и ARP-ответ отправит, и само html модифицирует. Судя по недрам приложения, оно работает на базе Ettercap. Всё то же самое, что и в статье, только на порядок проще (исключая получение рута на смартфоне). Приложение рабочее, я им себя мотивировал к экзаменам готовиться (alert с текстом «До экзамена осталось N дней M часов...»)
UPD: В ходе моих действий никто не пострадал

Зачем локальный сервер открывать? Если можно в какую-нибудь переменную поместить скрипт( Script="bla.bla
Bla") и в Injector внедрить его. Может я что-то не понимаю?

А закончится все тем, что CoinHive забанит аккаунт после первой жалобы и оставит всю крипту себе
Я не понял, как это будет внедряться на https сайты или как жертву заманить на http сайт

Я правильно понимаю, что это не работает с https запросами?

Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории