關於剪貼簿劫持事件,雖然已早有耳聞,但這類攻擊似乎也隨著時間不斷迭代,安全機構漫霧表示:這僅需要一行代碼就能實現!且所有基於 Chromium 開源代碼的瀏覽器皆可能受到影響。
源自:鏈新聞
作者:Jim
編輯:Metaverse Media
惡意寫入剪貼簿
根據獨立安全研究員的說法,Chrome瀏覽器可以在未經許可地情況下重新改寫剪貼簿的內容。有關剪貼簿的攻擊向量使他非常訝異,隨著時間推移,只要網站域名遭到劫持,剪貼簿內容就很可能被惡意更改。
Hacker News 上的貼文提供了一個實驗性質的網站。在基於 Chromium 的瀏覽器中訪問網站 (https://webplatform.news/),雖然網站看似正常,但能發現剪貼簿已被更改,內容如下:
你好,此訊息已存在你的剪貼板中,因為你在瀏覽器中訪問網站 Web Platform News,該瀏覽器允許網站在未經用戶許可下寫入剪貼板。 帶來不便敬請諒解。 有關此問題的更多信息,請參閱。
「Hello, this message is in your clipboard because you visited the website Web Platform News in a browser that allows websites to write to the clipboard without the user’s permission. Sorry for the inconvenience. For more information about this issue, see https://github.com/w3c/clipboard-apis/issues/182.」
漫霧:不只是 Chrome
區塊鏈安全機構 SlowMist 創辦人余弦在推特發文表示,這類攻擊僅需一行 JavaScript 惡意代碼就能實現。且不僅只有 Chrome,還有 Brave、Edge 等基於 Chromium 的瀏覽器,皆會受到此類攻擊,除了手機端、Firefox、Safari 可能不受影響。
他強調:這只能篡改剪貼簿內容,並無法在未經授權的情況下直接讀取內容,因此無需擔心剪貼簿的內容會洩露。提醒用戶都要警惕剪貼簿內容是否遭到竄改。
