在最近的Chrome软件发布后发现了一个影响Chrome、Firefox和Safari的浏览器漏洞。谷歌开发人员发现了这种基于剪贴板的攻击,它允许恶意网站在用户访问受感染的网页时覆盖用户剪贴板的内容。该错误还会影响所有基于Chromium的浏览器,但似乎在Chrome中最为普遍,其中用于复制内容的用户手势目前已列为问题报告。谷歌开发人员JeffJohnson解释了如何通过授予页面覆盖剪贴板内容的权限以多种方式触发该错误。一旦获得授权,用户可以通过主动触发剪切或复制操作、单击页面内的链接,甚至采取在相关页面上向上或向下滚动的简单操作来施加影响。浏览器之间的区别在于,Firefox和Safari用户必须使用Control+C或?-C主动将内容复制到剪贴板,而Chrome用户只需要查看恶意页面不超过几分之一秒就会受到影响。Johnson的博客文章引用了?ime的视频示例,?ime是网络开发人员的内容创建者。?ime的演示揭示了Chrome浏览器用户受到影响的速度有多快,只需在活动浏览器选项卡之间切换即可触发该漏洞。无论用户进行了多长时间或进行了何种类型的交互,恶意网站都会立即将任何剪贴板内容替换为威胁行为者决定提供的内容。Johnson的博客提供了描述页面如何获得写入系统剪贴板的权限的技术细节。一种方法是使用现已弃用的命令document.execCommand。另一种方法是利用最近的navigator.clipboard.writetextAPI,它无需额外操作即可将任何文本写入剪贴板。一个演示展示了针对同一个漏洞的两种方法是如何工作的。虽然该缺陷表面上听起来无伤大雅,但用户应保持警惕,内容交换可能会被恶意行为者利用,以利用毫无戒心的受害者。例如,欺诈性网站可能会用另一个欺诈性URL替换之前复制的URL,从而在不知不觉中将用户引导至旨在获取信息和破坏安全性的其他网站。该漏洞还为威胁行为者提供了在剪贴板上保存复制的加密货币钱包地址的能力,并将其替换为恶意第三方控制的另一个钱包地址。一旦交易发生并且资金被发送到欺诈钱包,受害用户通常几乎没有能力追踪和收回他们的资金。谷歌已意识到该漏洞,预计将在不久的将来发布补丁。在此之前,用户应谨慎行事,避免使用基于剪贴板的复制打开网页,并在继续进行任何可能危及个人或财务安全的活动之前验证复制的输出。
