Hackers gebruiken al cloudresources om bijvoorbeeld rekenkracht in te kopen, maar de onderzoekers uit North Carolina vonden een manier (PDF) om daar een browserarchitectuur voor te misbruiken. Daarmee hoeven cybercriminelen geen servers te huren, maar kunnen ze anoniem resources misbruiken die bedoeld zijn voor bijvoorbeeld mobiele gebruikers.

Mobiele apps

De onderzoekers keken naar de architectuur MapReduce BMR voor browsers. Dit proces van Google zorgt ervoor dat grote hoeveelheden data wordt opgedeeld zodat kleinere jobs kunnen worden uitgerekend. Dit framework gebruikt verschillende knooppunten om data te verstuwen, waaronder verschillende mobiele browsers.

Daardoor worden browsers misbruikt die pagina's in de cloud renderen en naar desktops op mobiele apparaten doorsturen, zoals Opera Mini, Puffin en SkyFire. Deze browsers zijn populair als apps onder datazuinige gebruikers, omdat datavretende plug-ins niet op het apparaat hoeven te laden. De onderzoekers wisselden anoniem met de mobiele browser Puffin via MapReduce BMR gegevens uit.

24.000 hashes per seconde

Om te verhullen dat het systeem werd misbruikt om parallelle berekeningen uit te voeren, zijn datapakketjes verstopt achter links van url-shorteners zoals bit.ly. Zo kunnen bijvoorbeeld afzonderlijke jobs voor het kraken van wachtwoordhashes worden toebedeeld aan deze knooppunten. Met behulp van deze gratis resource kunnen volgens de onderzoekers 24.000 hashes per seconde worden gegenereerd.

De uitgerekende resultaten worden vervolgens opgeslagen in gratis cloudopslagplekken en een link wordt dan teruggestuurd naar de pc die het proces aanstuurt. Daar wordt de wachtwoordkraak samengesteld uit de verzamelde datapakketjes.

Accounts vereisen

Volgens de betrokken professor computerwetenschappen van NC State William Eck: “Een van de gevolgen hiervan is dat [het inzetten van rekenkracht om wachtwoorden te kraken anoniem] kan gebeuren." Ze hoeven dan niet meer bijvoorbeeld een EC2-server hoeven in te huren die sneller kan worden getraceerd naar de cybercrimineel.

Browsers als Puffin en Opera Mini kunnen dit probleem ondervangen door inlogaccounts te vereisen, stelt Eck. Ook zouden er limieten aan gesteld moeten worden hoe deze accounts ingezet kunnen worden, zodat de onderliggende architectuur niet misbruikt kan worden.