複製貼上暗藏危機,網站未經許可篡改剪貼簿,僅Firefox、Safari免疫
雖然剪貼簿劫持事件早有所聞,但此類攻擊似乎也隨著時間不斷迭代,安全機構漫霧更表示,這僅需要一行代碼就能實現,且所有基於 Chromium 開源代碼的瀏覽器皆可能受到影響。
惡意寫入剪貼簿
獨立安全研究員 CIA Officer 在 8/28 引用來自 Hacker News 的內容指出,Chrome 瀏覽器能在未經用戶允許的情況下重新改寫剪貼簿內容。
他非常訝異有關剪貼簿的攻擊向量,一直隨著時間推移而不斷變化,只要網站域名遭劫持,剪貼簿內容就有可能被惡意更改。
廣告 - 內文未完請往下捲動
Chrome allows websites to write to the clipboard without the user’s permission!
It opens a possibility to preform a modified clipper attack! But this is way more complicated, I am surprised how attack vector on a clipboard has changed over time… pic.twitter.com/t14hvfywO2
— Officer's Notes (@officer_cia) August 27, 2022
Hacker News 上的貼文提供了一個實驗性質的網站。在基於 Chromium 的瀏覽器中訪問網站 (https://webplatform.news/),網站看似正常,但可以發現剪貼簿已被更改為以下內容:
你好,此訊息已存在你的剪貼板中,因為你在瀏覽器中訪問網站 Web Platform News,該瀏覽器允許網站在未經用戶許可下寫入剪貼板。 帶來不便敬請諒解。 有關此問題的更多信息,請參閱。
「Hello, this message is in your clipboard because you visited the website Web Platform News in a browser that allows websites to write to the clipboard without the user’s permission. Sorry for the inconvenience. For more information about this issue, see https://github.com/w3c/clipboard-apis/issues/182.」
漫霧:不只是 Chrome
區塊鏈安全機構 SlowMist 創辦人余弦在推特表示,此類攻擊僅需一行 JavaScript 惡意代碼就能實現,用戶可能因訪問不明網站而遭竄改剪貼簿原本的錢包地址。
且不僅只有 Chrome,還有 Brave、Edge 等基於 Chromium 的瀏覽器皆會受到此類攻擊,但手機端、Firefox、Safari 可能不受影響。
他強調這只能篡改剪貼簿內容,並無法在未經授權的情況下直接讀取內容,因此無需擔心剪貼簿的敏感內容因此洩露。但作為用戶,始終都要警惕剪貼簿內容是否遭到竄改。
关于 Chrome 可以直接篡改剪切板内容,说几点:
1/n. 这是个存在风险的特性,比如当用户打开恶意网页,网页可以悄悄篡改用户的剪切板内容为非预期的内容,比如钱包地址,恶意 JavaScript 代码就一行:
navigator.clipboard.writeText('0x29a94059c33827781bbddb932Dd40c46a7Bd9513');
— Cos(余弦)😶🌫️ (@evilcos) August 28, 2022
