BrowseAloud

BrowseAloud

BrowseAloud는 웹 사이트에 텍스트 음성 변환 기능을 추가하는 보조 기술 소프트웨어다.[1] 보조기술 설계를 전문으로 하는 북아일랜드 소재 기업 텍스틸프(Texthelp Ltd.)가 설계했다. BrowseAloud는 온라인 콘텐츠에 음성 및 읽기 지원 도구를 추가하여 읽기 지원이 필요한 사람들을 위해 웹 사이트의 범위를 확장한다. JavaScript 기반[2] 도구는 방문 중인 웹 페이지에 부동 툴바를 추가한다. 이 서비스는 웹사이트의 게시자가 비용을 지불하고 웹사이트 방문자들에게 무료로 제공된다.[3]

BrowseAloud는 영국에서 지방 의회와 [4]National Health Service의 일부에 의해 사용되어 왔다.[5] 이 소프트웨어는 2004년에 뉴 스테이츠맨 뉴미디어상을 수상했다.[6]

논란

BrowseAloud는 BrowseAloud가 텍스트를 읽기 전에 마우스를 사용하여 텍스트를 선택해야 한다는 이유로 기술자들로부터 비판을 받아왔다.[7] 이것은 사용하기 위한 비전과 운동 기술을 요구하여, JAWS와 같은 다른 화면 판독기를 사용할 수 있는 그룹에게는 BrowseAloud가 접근할 수 없게 만들었다. 비평가들은 BrowseAloud가 그러한 도구의 대체물이 아니라는 점에 주목했다.[3][8]

멀웨어

일요일인 2018년 2월 11일, 아마존 웹 서비스에서 호스팅된 BrowseAloud가 [11]해킹당한 후 4,200명이 넘는 BrowseAloud 고객들(일부 소식통에 따르면 5,000명[9][10] 이상)이 코인하이브 코드에 감염되었다고 한다.[2] 암호화폐의 한 형태인 모네로를 생성하는 코인하이브는 합법적인 용도를 가지고 있지만,[12] 공격 방식에서의 코인하이브는 크리스 윌리엄스 서장의 레지스터 편집자에 의해 "악의적"으로, 테크크런치에서는 테일러 해트메이커에 의해 "악의적"으로 묘사되었다.[2][13]

Textelp는 BrowseAloud 서비스를 사용하지 않도록 설정하여 엔지니어가 보안 위반을 조사하고 악성 코드를 제거할 수 있도록 하였다. 레지스터는 이 코드가 Broswse에서 활성화된 것으로 추정했다.최대 13시간 동안 소리내어.[2] 그것은 방문자의 컴퓨터를 사용하여 계산 집약적인 계산을 수행했고,[13][14] 잠재적으로 컴퓨터의 성능을 떨어뜨리고 배터리 수명을 줄이거나 전기를 소비했다.[14] 국가사이버안전센터는 그러한 활동을 "불법"이라고 언급했다.[9][14]

웹사이트가 영향을 받은 고객 중에는 영국 정보 위원회[2][15][16](예방[11] 조치로 웹사이트를 폐쇄한 사람), 미국 법원 행정처,[17] 호주 빅토리아주 및 퀸즐랜드주 정부 등이 있었다.[18][19]

이 문제는 영국의 정보보안 컨설턴트인 스콧 헬메에 의해 감지되었다.[2] 해트메이커와 보이드는 각각 이번 공격에 사용된 취약점이 방문객들의 개인정보를 훔치는 데 이용됐을 수 있다고 지적했다.[13] Helme와 NCSC는 웹사이트 개발자들에게 그러한 공격에 대한 방어 수단으로 Sub-Resource Integrity를 사용할 것을 권고했다.[14]

이번 공격은 공격자들에게 모네가상화폐에서 24달러에 해당하는 금액만 벌어들인 것으로 추정됐다.[20] 멀웨어바이트의 크리스 보이드 등 일부 논평가들은 공격자들이 향후 사용 방법을 시험하고 있었을 수 있기 때문에 상대적으로 공격이 경미하다는 의견을 제시했다.[11]

참조

  1. ^ User, Super. "Text-To-Speech – Software Comparison - Digital Accessibility Centre (DAC)". www.digitalaccessibilitycentre.org. Archived from the original on 21 February 2018. Retrieved 20 February 2018.
  2. ^ a b c d e f Williams, Chris (11 February 2018). "UK ICO, USCourts.gov... Thousands of websites hijacked by hidden crypto-mining code after popular plugin pwned". The Register. Retrieved 19 February 2018.
  3. ^ a b "Accessibility". Association of Voluntary Service Managers. Retrieved 19 February 2018. Browsealoud... is not designed to be a substitute for a full screen reader program such as Window Eyes or Jaws.
  4. ^ 퍼블릭 테크놀로지[영구적 데드링크]
  5. ^ 모피스 해롤드[영구적 데드링크]
  6. ^ "New Media Awards 2004". New Statesman. Archived from the original on 4 February 2012.
  7. ^ Paul Liversidge (26 May 2004). "Browsealoud opinions sought". Newsgroup: comp.infosystems.www.authoring.html.
  8. ^ Groves, Karl (19 April 2012). "Can Assistive Technology Make a Website Accessible?". Retrieved 19 February 2018. People who require text-to-speech in order to gain access to content will need it on all websites and, indeed, on all software applications they use, not just their browser.
  9. ^ a b Greenfield, Patrick (11 February 2018). "Government websites hit by cryptocurrency mining malware". The Guardian. Retrieved 19 February 2018.
  10. ^ Stylianou, Nick (15 February 2018). "UK Government website offline after hack infects thousands more worldwide". Sky News. Retrieved 19 February 2018.
  11. ^ a b c Burgess, Matt (12 February 2018). "UK government websites were caught cryptomining. But it could have been a lot worse". Retrieved 19 February 2018.
  12. ^ Ashford, Warwick (12 February 2018). "Criminals hijack government sites to mine cryptocurrency used to hide wealth". ComputerWeekly.com. Retrieved 19 February 2018.
  13. ^ a b c Hatmaker, Taylor (12 February 2018). "Cryptocurrency-mining malware put UK and US government machines to work". TechCrunch. Retrieved 19 February 2018.
  14. ^ a b c d "NCSC advice: Malicious software used to illegally mine cryptocurrency". National Cyber Security Centre. Retrieved 19 February 2018. The NCSC is aware of a compromise of the third-party JavaScript library ‘Browsealoud’ which happened on 11 February 2018. During the compromise, anyone who visited a website with the Browsealoud library embedded inadvertently ran mining code on their computer, helping to generate money for the attackers.
  15. ^ "U.S. & UK Govt Sites Injected With Miners After Popular Script Was Hacked". BleepingComputer. Retrieved 20 February 2018.
  16. ^ "4K+ Websites Infected with Crypto-Miner after Tech Provider Hacked". The State of Security. 12 February 2018. Retrieved 20 February 2018.
  17. ^ Otto, Greg (12 February 2018). "Cryptomining scheme ropes in dozens of government websites - CyberScoop". Cyberscoop. Retrieved 19 February 2018.
  18. ^ Meyer, David (12 February 2018). "How the U.S. Courts Website Unwittingly Became a Cryptocurrency Miner". Fortune. Retrieved 19 February 2018.
  19. ^ "Cryptomining script poisons government websites – What to do". Naked Security. 12 February 2018. Retrieved 20 February 2018.
  20. ^ Hern, Alex (14 February 2018). "Huge cryptojacking campaign earns just $24 for hackers". The Guardian. Retrieved 19 February 2018.

외부 링크