開發人員 Jeff Johnson 在一篇博客文章中指出,Google 在 Chrome 104 中意外引入了一個 bug 。由於一個權限設置失誤,導致網站無需獲准用戶許可、即可將相關內容寫入系統剪貼板。雖然 Safari 和 Firefox 也有類似的功能,但至少 Apple 和 Mozilla 有設置相應的防護措施。
據悉,剪貼板是操作系統上的一個臨時存儲空間。但由於常用於複製 / 粘貼的中轉站,剪貼板很可能涉及銀行賬號、加密貨幣錢包字符串、以及密碼等敏感信息。
當用戶選擇從網頁上複製一段文本時,某些網站可能會加上額外的內容 —— 比如當前頁面的網址(URL)—— 而沒有任何可見的指示或交互。
若被任意內容覆蓋這個臨時存儲空間,用戶將面臨較高的風險,導致其成為潛在惡意活動的受害者。
Jeff Johnson 在博客文章中強調 —— 所有支持剪貼板寫入的 Web 瀏覽器,都具有較差且不充分的防護措施。
舉個例子,攻擊者可能引誘用戶訪問冒充合法加密貨幣服務的特製網站。當用戶嘗試付款、並將錢包地址複製到剪貼板時,該 bug 或導致相關信息被篡改。
(via BleepingComputer)
雖然許多剪貼板 API 交互都是通過 Ctrl+C 這樣的快捷鍵實現的,但在許多情況下,網站交互可以做到更加神不知鬼不覺。
Johnson 在 Safari 和 Firefox 上的測試表明,即使按了向下 ↓ 箭頭、或使用鼠標滾輪在網站上導航,都可被授予當前加載頁面的剪貼板寫入權限。
要確定該問題是否影響您的 Web 瀏覽器,可移步至 webplatform.news 示例站點,看相關操作是否會將內容注入到用戶系統的剪貼板里、然後嘗試將內容‘粘貼’到 Windows 記事本。
目前 Chrome 開發團隊已經意識到了這個問題,但尚未立即修復。慶幸的是,它對當前版本的移動 / 桌面版 Chrome 瀏覽器的影響並不大。