BrowseAloud

O BrowseAloud é um software de tecnologia assistida que adiciona funcionalidade de conversão de texto em fala em sites.^[1] Ele foi projetado pela Texthelp Ltd, uma empresa sediada na Irlanda do Norte, especializada no design de tecnologia assistida. O BrowseAloud adiciona ferramentas de suporte de fala e leitura ao conteúdo on-line para ampliar o alcance dos sites para pessoas que precisam de suporte de leitura. A ferramenta^[2] baseada em JavaScript adiciona uma barra de ferramentas flutuante à página da web que está sendo visitada. O serviço é pago pelo editor do site; e é gratuito para visitantes do site.^[3]

O BrowseAloud tem sido usado no Reino Unido por conselhos locais^[4] e por partes do Serviço Nacional de Saúde.^[5] O software ganhou um New Statesman New Media Award em 2004.^[6]

Controvérsias

O BrowseAloud foi criticado por tecnólogos pela necessidade de usar o mouse para selecionar o texto antes que o BrowseAloud o lesse.^[7] Isso exigia habilidades de visão e motoras, tornando o BrowseAloud inacessível a grupos que poderiam usar outros leitores de tela, como o JAWS. Os comentaristas observaram que o BrowseAloud não substitui essas ferramentas.^[8][9]

Malware

Em 11 de Fevereiro de 2018, um domingo, mais de 4.200 clientes Browsealoud (algumas fontes disseram que mais de 5.000^[10][11]) tiveram seus sites infectados com Coinhive código após Browsealoud, hospedado no Amazon Web Services,^[12] ter sido hackeado.^[13] Embora o Coinhive - que gera Monero, uma forma de criptomoeda - tenha usos legítimos,^[14] sua inserção da maneira descrita no ataque foi descrita como "maliciosa" pelo editor-chefe do The Register , Chris Williams; e como "malware" por Taylor Hatmaker, no TechCrunch.^[15]

O serviço BrowseAloud foi desativado pelo Texthelp, para permitir que seus engenheiros investigassem a violação de segurança e removessem o código malicioso. O Register estimou que o código estava ativo no BroswseAloud por até treze horas.^[13] Ele usou os computadores dos visitantes para realizar cálculos intensivos em computação,^[16][17] potencialmente diminuindo o desempenho do computador e reduzindo a vida útil da bateria ou consumindo eletricidade. O Centro Nacional de Segurança Cibernética se refere a essa atividade como "ilegal".^[18]

Entre os clientes cujos sites foram afetados estavam o Comissário de Informação do Reino Unido^[13][19][20] (que fechou o site por precaução^[21]), o Escritório Administrativo dos Tribunais dos EUA^[22] e os governos dos estados australianos de Victoria e Queensland.^[23][24]

O problema foi detectado por Scott Helme, consultor de segurança da informação do Reino Unido.^[13] Hatmaker e Boyd apontaram que a vulnerabilidade usada no ataque poderia ter sido usada para roubar informações pessoais dos visitantes.^[16] Helme e o NCSC recomendaram que os desenvolvedores do site usassem a Sub-Resource Integrity como uma defesa contra esses ataques.^[25]

O ataque foi estimado e os assaltantes ganharam apenas o equivalente a US $ 24 no Monero criptomoeda.^[26] Alguns comentaristas, como Chris Boyd, da Malwarebytes, sugeriram que o ataque foi relativamente moderado, pois os atacantes poderiam estar testando um método para uso futuro.^[21]

Referências

1. User, Super. «Text-To-Speech – Software Comparison - Digital Accessibility Centre (DAC)». www.digitalaccessibilitycentre.org (em inglês). Consultado em 20 de fevereiro de 2018. Cópia arquivada em 21 de fevereiro de 2018 
2. Williams, Chris (11 de fevereiro de 2018). «UK ICO, USCourts.gov... Thousands of websites hijacked by hidden crypto-mining code after popular plugin pwned». The Register (em inglês). Consultado em 19 de fevereiro de 2018 
3. «Accessibility». Association of Voluntary Service Managers. Consultado em 19 de fevereiro de 2018. Browsealoud... is not designed to be a substitute for a full screen reader program such as Window Eyes or Jaws. 
4. Public Technology^{[ligação inativa]}
5. Morpeth Harold
6. «New Media Awards 2004». New Statesman. Cópia arquivada em 4 de fevereiro de 2012 
7. Paul Liversidge. «Browsealoud opinions sought». Grupo de notícias: comp.infosystems.www.authoring.html 
8. «Accessibility». Association of Voluntary Service Managers. Consultado em 19 de fevereiro de 2018. Browsealoud... is not designed to be a substitute for a full screen reader program such as Window Eyes or Jaws. 
9. Groves, Karl (19 de abril de 2012). «Can Assistive Technology Make a Website Accessible?». Consultado em 19 de fevereiro de 2018. People who require text-to-speech in order to gain access to content will need it on all websites and, indeed, on all software applications they use, not just their browser. 
10. Greenfield, Patrick (11 de fevereiro de 2018). «Government websites hit by cryptocurrency mining malware». the Guardian. Consultado em 19 de fevereiro de 2018 
11. Stylianou, Nick (15 de fevereiro de 2018). «UK Government website offline after hack infects thousands more worldwide». Sky News. Consultado em 19 de fevereiro de 2018 
12. Burgess, Matt (12 de fevereiro de 2018). «UK government websites were caught cryptomining. But it could have been a lot worse». Consultado em 19 de fevereiro de 2018 
13. Williams, Chris (11 de fevereiro de 2018). «UK ICO, USCourts.gov... Thousands of websites hijacked by hidden crypto-mining code after popular plugin pwned». The Register (em inglês). Consultado em 19 de fevereiro de 2018 
14. Ashford, Warwick (12 de fevereiro de 2018). «Criminals hijack government sites to mine cryptocurrency used to hide wealth». ComputerWeekly.com. Consultado em 19 de fevereiro de 2018 
15. Hatmaker, Taylor (12 de fevereiro de 2018). «Cryptocurrency-mining malware put UK and US government machines to work». TechCrunch. Consultado em 19 de fevereiro de 2018 
16. Hatmaker, Taylor (12 de fevereiro de 2018). «Cryptocurrency-mining malware put UK and US government machines to work». TechCrunch. Consultado em 19 de fevereiro de 2018 
17. «NCSC advice: Malicious software used to illegally mine cryptocurrency». National Cyber Security Centre. Consultado em 19 de fevereiro de 2018. The NCSC is aware of a compromise of the third-party JavaScript library ‘Browsealoud’ which happened on 11 February 2018. During the compromise, anyone who visited a website with the Browsealoud library embedded inadvertently ran mining code on their computer, helping to generate money for the attackers. 
18. Greenfield, Patrick (11 de fevereiro de 2018). «Government websites hit by cryptocurrency mining malware». the Guardian. Consultado em 19 de fevereiro de 2018 
19. «U.S. & UK Govt Sites Injected With Miners After Popular Script Was Hacked». BleepingComputer (em inglês). Consultado em 20 de fevereiro de 2018 
20. «4K+ Websites Infected with Crypto-Miner after Tech Provider Hacked». The State of Security (em inglês). 12 de fevereiro de 2018. Consultado em 20 de fevereiro de 2018 
21. Burgess, Matt (12 de fevereiro de 2018). «UK government websites were caught cryptomining. But it could have been a lot worse». Consultado em 19 de fevereiro de 2018 
22. Otto, Greg (12 de fevereiro de 2018). «Cryptomining scheme ropes in dozens of government websites - CyberScoop». Cyberscoop. Consultado em 19 de fevereiro de 2018 
23. Meyer, David (12 de fevereiro de 2018). «How the U.S. Courts Website Unwittingly Became a Cryptocurrency Miner». Fortune (em inglês). Consultado em 19 de fevereiro de 2018 
24. «Cryptomining script poisons government websites – What to do». Naked Security (em inglês). 12 de fevereiro de 2018. Consultado em 20 de fevereiro de 2018 
25. «NCSC advice: Malicious software used to illegally mine cryptocurrency». National Cyber Security Centre. Consultado em 19 de fevereiro de 2018. The NCSC is aware of a compromise of the third-party JavaScript library ‘Browsealoud’ which happened on 11 February 2018. During the compromise, anyone who visited a website with the Browsealoud library embedded inadvertently ran mining code on their computer, helping to generate money for the attackers. 
26. Hern, Alex (14 de fevereiro de 2018). «Huge cryptojacking campaign earns just $24 for hackers». the Guardian. Consultado em 19 de fevereiro de 2018