複製貼上暗藏危機,網站未經許可篡改剪貼簿,僅Firefox、Safari免疫

Jim
分享
複製貼上暗藏危機,網站未經許可篡改剪貼簿,僅Firefox、Safari免疫

雖然剪貼簿劫持事件早有所聞,但此類攻擊似乎也隨著時間不斷迭代,安全機構漫霧更表示,這僅需要一行代碼就能實現,且所有基於 Chromium 開源代碼的瀏覽器皆可能受到影響。

惡意寫入剪貼簿

獨立安全研究員 CIA Officer 在 8/28 引用來自 Hacker News 的內容指出,Chrome 瀏覽器能在未經用戶允許的情況下重新改寫剪貼簿內容。

他非常訝異有關剪貼簿的攻擊向量,一直隨著時間推移而不斷變化,只要網站域名遭劫持,剪貼簿內容就有可能被惡意更改。

Hacker News 上的貼文提供了一個實驗性質的網站。在基於 Chromium 的瀏覽器中訪問網站 (https://webplatform.news/),網站看似正常,但可以發現剪貼簿已被更改為以下內容:

你好,此訊息已存在你的剪貼板中,因為你在瀏覽器中訪問網站 Web Platform News,該瀏覽器允許網站在未經用戶許可下寫入剪貼板。 帶來不便敬請諒解。 有關此問題的更多信息,請參閱

「Hello, this message is in your clipboard because you visited the website Web Platform News in a browser that allows websites to write to the clipboard without the user’s permission. Sorry for the inconvenience. For more information about this issue, see https://github.com/w3c/clipboard-apis/issues/182.」

漫霧:不只是 Chrome

區塊鏈安全機構 SlowMist 創辦人余弦在推特表示,此類攻擊僅需一行 JavaScript 惡意代碼就能實現,用戶可能因訪問不明網站而遭竄改剪貼簿原本的錢包地址。

且不僅只有 Chrome,還有 Brave、Edge 等基於 Chromium 的瀏覽器皆會受到此類攻擊,但手機端、Firefox、Safari 可能不受影響。

他強調這只能篡改剪貼簿內容,並無法在未經授權的情況下直接讀取內容,因此無需擔心剪貼簿的敏感內容因此洩露。但作為用戶,始終都要警惕剪貼簿內容是否遭到竄改。