如果您使用 Chrome 或 Chromium 衍生物,请密切注意您的剪贴板,这是计算机上允许您复制和粘贴的存储空间。您应该知道,任何网站都可以随时修改您剪贴板的内容,而无需您执行任何操作且在您不知情的情况下。没有警报或同意请求。
这一事实是由计算机科学家杰夫·约翰逊发现的,并由黑客新闻。除了侵入性之外,这种技术可能性可能会令人烦恼,甚至有害。我们可以想象这样一个场景:修改加密货币钱包的地址,以转移资金转移。或者网页的链接被即时修改为恶意网站的链接。你只需要有一点想象力。
剪贴板,一个有趣的 API
这个问题与编程接口有关剪贴板。 Jeff Johnson 表示,这本身就是一个怪癖,因为它根据用户手势提供对剪贴板的写入访问。例如,鼠标移动或单击、验证表单按钮或使用方向键。
“像点击链接或按方向键滚动页面这样简单的手势就授予了 Seb 网站修改剪贴板的权限!所有浏览器都允许这样做,包括 Safari(桌面版和移动版)和 Firefox(……) 这种设计的主要缺陷是用户的操作等同于同意。,杰夫·约翰逊在一篇博客文章中写道。
Chrome 比其他浏览器做得更差的是,自版本 104 以来,写入访问甚至不再与用户手势相关联。现在可以随时进行。此错误是由于与其他软件模块不兼容造成的。有计划修复它,但尚未公布日期。
一个易于测试的漏洞
要测试此缺陷的影响,只需访问该网站网络平台新闻。页面加载后,您可以复制并粘贴到文档中,并看到它包含以下文本:
您好,此消息位于您的剪贴板中,因为您在浏览器中访问了 Web Platform News 网站,该浏览器允许网站在未经用户许可的情况下写入剪贴板。带来不便敬请谅解。有关此问题的更多信息,请参阅 https://github.com/w3c/clipboard-apis/issues/182。
Jeff Johnson 的博客文章也允许测试这个缺陷。应该注意的是,只有写访问受此警报影响,读访问不受影响。要读取剪贴板的内容,网站必须明确请求许可。还是很开心。
来源 : 黑客新闻
