آسیبپذیری مرورگرها، بازنویسی محتوای کلیپبورد را برای سایتهای مخرب امکانپذیر میکند
آسیبپذیری جدیدی در مرورگرهای کروم، فایرفاکس و سافاری کشف شده است که روی عملکرد کلیپبورد تأثیر دارد. این باگ به وبسایتهای مخرب اجازه میدهد محتوای کلیپبورد کاربر را بازنویسی کنند. نکتهی جالب اینکه، بازدید از این وبسایتها برای دستیابی به این هدف و سوءاستفاده از باگ، کافی است. این آسیبپذیری، همهی مرورگرهای مبتنیبر موتور کرومیوم را نیز تحت تأثیر قرار میدهد، اما ظاهراً در مروگر اصلی کروم بیشتر دیده میشود؛ جاییکه درحالحاضر اقدام کاربر برای کپی محتوا، با خطا مواجه میشود.
جف جانسون از توسعهدهندگان گوگل توضیح داد که چگونه میتوان این آسیبپذیری را به روشهای مختلفی فعال کرد که همگی به صفحهی وب اجازه میدهند محتوای کلیپبورد را بازنویسی کند. کاربران میتوانند پس از اعطای مجوز و با فعال کردن گزینهی Cut یا Copy، کلیک روی صفحهی پیوند یا حتی انجام اقدامات ساده مثل پیماش از بالای صفحه به پایین، تحت تأثیر این مشکل قرار گیرند.
جانسون درمورد آسیبپذیری جدید مرورگرهای وب توضیح داد، درحالیکه کاربران فایرفاکس و سافاری باید محتوا را بهطور فعال و با استفاده از Control+C یا ⌘-C، در کلیپبورد کپی کنند. کاربران همچنین میتوانند با مشاهدهی صفحهی وب مخرب، برای جلوگیری از قرارگیری درمعرض خطر این باگ از ⌘-C استفاده کنند.
پست وبلاگی جانسون به نمونههای ویدئویی از Sime نیز اشاره دارد؛ سازندهی محتوایی که تخصص آن در تولید محتوای ویژهی توسعهدهندگان وب است. نمایشهای Sime نشان میدهد باگ جدید مرورگرهای وب، چقدر سریع روی کاربران کروم تأثیر میگذارد. این مشکل بهراحتی و با جابهجایی میان برگههای فعال مرورگر ایجاد میشود. صرفنظر از اینکه کاربر چه مدت یا چه نوع تعاملاتی انجام میدهد، سایت مخرب، محتوای کلیپبورد را با هرچیزی که عامل تهدید است جایگزین میکند.
به گزارش Techpot، برای اینکه بتوانید دادههای جدیدی به کلیپبورد اضافه کنید، وبسایت شما باید روی برگهی فعال بارگذاری شود. تغییر سریع میان برگهها برای فعال شدن این مورد کافی است. شما مجبور نیستید با وبسایتهای مخرب تعامل داشته باشید یا حتی بیش از یکدهم ثانیه به آن نگاه کنید.
وبلاگ جانسون با بیان جزئيات فنی، اشاره میکند یک صفحهی وب چگونه میتواند مجوز نوشتن روی کلیپبورد سیستم را بهدست آورد. یک روش از دستور منسوخ document.execCommand استفاده میکند. روش دیگر، از APIهای جدیدتری مثل navigator.clipboard.writetext بهره میبرد که امکان نوشتن هر متنی را بدون نیاز به اقدامات اضافه در حافظهی کلیپبورد فراهم میکنند. وبلاگ جانسون همچنین شامل نمایشی از نحوهی عملکرد هردو رویکرد به آسیبپذیری مذکور است.
درحالیکه ممکن است آسیبپذیری فوق در ظاهر چندان خطرناک بهنظر نرسد، اما کاربران باید آگاه باشند که عوامل مخرب چگونه میتوانند از مبادلهی محتوا برای سوءاستفاده از قربانیان ناآگاه استفاده کنند. بهعنوان مثال یک سایت مخرب میتواند URL کپیشدهی قبلی را با URL جعلی دیگری جایگزی کند و کاربر را ناآگاهانه بهسمت سایتهای دیگری هدایت کند که برای گرفتن اطللاعات و بهخطر انداختن امنیت طراحی شدهاند.
مهاجمان همچنین میتوانند با استفاده از این آسیبپذیری، آدرسهای کیف پول رمزارزی دیجیتال ذخیرهشده در کلیپبورد را با آدرس کیف پول دیگری که سازندهی وبسایت مخرب آن را کنترل میکند، تغییر دهند. هنگامیکه تراکنش انجام و وجوه به کیف پول جعلی انتقال یافت، کاربر قربانی معمولاً توانایی ردیابی و بازپسگیری وجوه خود را ندارند.
بهنظر میرسد گوگل از این آسیبپذیری آگاه است و انتظار میرود در آیندهی نزدیک یک وصلهی نرمافزاری برای رفع آن منتشر کند. کاربران تا آن زمان باید با اجتناب از باز کردن صفحات با استفاده از محتوای کپیشدهی مبتنیبر کلیپبورد، احتیاط کرده و پیش از ادامهی هر فعالیتی که میتواند امنیت شخصی یا مالی آنها را بهخطر بیندازد، خروجی محتوای کپیشدهی خود را تأیید کنند.