虽然剪贴簿劫持事件早有所闻,但此类攻击似乎也随着时间不断迭代,安全机构漫雾更表示,这仅需要一行代码就能实现,且所有基于 Chromium 开源代码的浏览器皆可能受到影响。
恶意写入剪贴簿
独立安全研究员 CIA Officer 在 8/28 引用来自 Hacker News 的内容指出,Chrome 浏览器能在未经用户允许的情况下重新改写剪贴簿内容。
他非常讶异有关剪贴簿的攻击向量,一直随着时间推移而不断变化,只要网站域名遭劫持,剪贴簿内容就有可能被恶意更改。
Chrome allows websites to write to the clipboard without the user’s permission!
It opens a possibility to preform a modified clipper attack! But this is way more complicated, I am surprised how attack vector on a clipboard has changed over time… pic.twitter.com/t14hvfywO2
— CIA Officer (@officer_cia) August 27, 2022
Hacker News 上的贴文提供了一个实验性质的网站。在基于 Chromium 的浏览器中访问网站 (https://webplatform.news/),网站看似正常,但可以发现剪贴簿已被更改为以下内容:
你好,此讯息已存在你的剪贴板中,因为你在浏览器中访问网站 Web Platform News,该浏览器允许网站在未经用户许可下写入剪贴板。 带来不便敬请谅解。 有关此问题的更多信息,请参阅。
「Hello, this message is in your clipboard because you visited the website Web Platform News in a browser that allows websites to write to the clipboard without the user’s permission. Sorry for the inconvenience. For more information about this issue, see https://github.com/w3c/clipboard-apis/issues/182.」
漫雾:不只是 Chrome
区块链安全机构 SlowMist 创办人余弦在推特表示,此类攻击仅需一行 JavaScript 恶意代码就能实现,用户可能因访问不明网站而遭窜改剪贴簿原本的钱包地址。
且不仅只有 Chrome,还有 Brave、Edge 等基于 Chromium 的浏览器皆会受到此类攻击,但手机端、Firefox、Safari 可能不受影响。
他强调这只能篡改剪贴簿内容,并无法在未经授权的情况下直接读取内容,因此无需担心剪贴簿的敏感内容因此泄露。但作为用户,始终都要警惕剪贴簿内容是否遭到窜改。
关于 Chrome 可以直接篡改剪切板内容,说几点:
1/n. 这是个存在风险的特性,比如当用户打开恶意网页,网页可以悄悄篡改用户的剪切板内容为非预期的内容,比如钱包地址,恶意 JavaScript 代码就一行:
navigator.clipboard.writeText('0x29a94059c33827781bbddb932Dd40c46a7Bd9513');
— Cos(余弦)😶🌫️ (@evilcos) August 28, 2022
