一个影响Chrome、Firefox和Safari的浏览器漏洞在最近的Chrome软件发布后被发现。Google开发人员发现了这个基于剪贴板的攻击,当用户访问一个被攻击的网页时,恶意网站可以覆盖用户的剪贴板内容。该漏洞也影响到所有基于Chromium的浏览器,但似乎在Chrome浏览器中最为普遍,目前用于复制内容的用户手势被列为了问题报告。
Google开发人员杰夫-约翰逊解释了该漏洞是如何被触发的,几种方式都是授予页面覆盖剪贴板内容的权限。一旦授予权限,用户可以通过主动触发剪切或复制动作,点击页面中的链接,甚至采取在有关页面上向上或向下滚动这样简单的动作来影响。
浏览器之间的区别在于,Firefox和Safari用户必须使用Control+C或⌘-C主动将内容复制到剪贴板,而Chrome用户只需查看一个恶意页面不超过几分之一秒就可以受到影响。
约翰逊的博文引用了Šime的视频例子,Šime是一家专门面向网络开发者的内容创作者。Šime的演示揭示了Chrome浏览器用户受到影响的速度有多快,只要在活动的浏览器标签之间切换,就会触发该漏洞。无论用户进行了多长时间或何种类型的互动,恶意网站都会立即用威胁者决定提供的内容取代任何剪贴板内容。
约翰逊的博客提供了技术细节,描述了一个页面如何获得写到系统剪贴板的权限。一种方法是使用现在已被废弃的命令,即document.execCommand。
另一种方法是利用最近的
navigator.clipboard.writetext API,它有能力将任何文本写入剪贴板而不需要额外的操作。一个演示说明了针对同一漏洞的两种方法如何工作。
虽然这个漏洞表面上听起来没有什么破坏性,但用户应该保持警惕,恶意行为者可以利用内容交换来利用毫无戒心的受害者。例如,一个欺诈性网站可以用另一个欺诈性URL替换之前复制的URL,在不知情的情况下将用户引向旨在获取信息和破坏安全的其他网站。
该漏洞还为威胁者提供了将复制的加密货币钱包地址保存在剪贴板上的能力,替换为由恶意第三方控制的另一个钱包的地址。一旦交易发生,资金被发送到欺诈性钱包,受害的用户通常几乎没有能力追踪和收回他们的资金。
Google已经意识到了这个漏洞,并有望在不久的将来发布一个补丁。在此之前,用户应谨慎行事,避免使用基于剪贴板的复制内容打开网页,并在继续进行任何可能危及其个人或财务安全的活动之前验证其复制内容的输出。
