Dziura w przeglądarce Chrome umożliwia nienadzorowany zapis i edycję danych w schowku komputera

Błąd Google Chrome pozwala witrynom pisać do schowka bez pytania

Wyobraź sobie sytuację, w której wchodzisz na zainfekowaną stronę internetową, a ta podmienia lub kopiuje Twoje dane znajdujące się w schowku pamięci komputera, i to bez jakiegokolwiek informowania Cię o tym. Okazuje się, że powyższe jest możliwe w wersji 104 przeglądarki Google Chrome. Pojawił się w niej błąd, który powoduje, że użytkownicy nie muszą zatwierdzać zdarzeń pisania w schowku, gdy odwiedzają witryny wymagające tego zatwierdzenia. Luka ta została zidentyfikowana 28 sierpnia 2022 r. przez analityka bezpieczeństwa Jeffa Johnsona i opisana tutaj.

Czym jest funkcja nadpisywania schowka systemowego?

Jest to domyślna funkcja systemu operacyjnego, służąca do przechowywania danych tym-czasowych w tak zwanym schowku. Kopiowanie i wklejanie są często wykorzystywane do szybkiego wprowadzania informacji do dokumentów, a w niektórych przypadkach mogą być w ten sposób używane również dane poufne, takie jak:

• numery kont bankowych,
• strony portfela kryptowalut,
• hasła,
• numery kart debetowych,
• numery kart kredytowych.

Internauci mogą stać się ofiarami złośliwych działań, jeśli to tymczasowe miejsce do przechowywania zostanie nadpisane dowolną zawartością za pomocą funkcji zastępowania (lub nadpisywania). Korzystając ze specjalnie spreparowanych stron internetowych, hakerzy próbują zwabić użytkowników, na przykład symulując legalne usługi związane z kryptowalutami.

Istnieje możliwość, że fałszywa witryna podmieni w schowku adres portfela kryptowalut użytkownika na własny, gdy ten będzie próbował dokonać płatności. W takiej sytuacji, z wyjątkiem wspomnianej wersji przeglądarki Chrome, na niektórych stronach internetowych (oraz w innych przeglądarkach) użytkownik może otrzymać dodatkową treść (ostrzeżenie) podczas wybierania tekstu do skopiowania ze strony internetowej. Użytkownik nie ma możliwości zobaczenia lub kontrolowania, jaka zawartość jest kopiowana, gdy schowek zapełnia się dowolnymi danymi.

Co z innymi przeglądarkami?

Należy pamiętać, że Google Chrome nie jest jedyną przeglądarką, która zapewnia tę funkcjonalność. Chociaż strony internetowe mogą być rejestrowane w schowku systemowym również przez Safari i Firefox, nadal są one chronione gestami, aby zapobiec kopiowaniu jego zawartości.

Jeff Johnson pisze na swoim blogu: „Chrome jest obecnie najgorszą aplikacją chroniącą, ponieważ w wersji 104 przypadkowo złamano wymóg gestu użytkownika do pisania do schowka”.

Dodaje również, że gesty użytkownika na stronie nie są ograniczone w ścisły sposób:

„W moich testach następujące zdarzenia DOM dają stronie internetowej uprawnienia do korzystania z API schowka w celu nadpisania schowka systemowego. […] Dlatego tak niewinny gest, jak kliknięcie łącza lub naciśnięcie klawisza strzałki w celu przewinięcia strony w dół, daje witrynie pozwolenie na nadpisanie schowka systemowego! Jest to dozwolone w każdej przeglądarce internetowej, w tym w Safari (komputerowej i mobilnej) i Firefox”.

Programiści Chrome zidentyfikowali problem, ale nie podali jeszcze sposobu na jego rozwiązanie. Zauważono go zarówno w mobilnych, jak i stacjonarnych wersjach przeglądarek.

Jak sprawdzić swoją przeglądarkę i jak sobie radzić z problemem?

Korzystając z „webplatform(.)news”, określisz, czy omawiany błąd dotyczy też Twojej prze-glądarki internetowej. Możesz skopiować zawartość schowka do edytora tekstu i wkleić ją na tej stronie. Jeśli odwiedzisz stronę demonstracyjną w Google Chrome lub przeglądarce Chromium, Twój schowek systemowy zostanie zastąpiony poniższym tekstem:

„Hello, this message is in your clipboard because you visited the website Web Platform News in a browser that allows websites to write to the clipboard without the user’s permis-sion. Sorry for the inconvenience. For more information about this issue, see https://github.com/w3c/clipboard-apis/issues/182”.

Pamiętaj, że problem nie dotyczy wszystkich przeglądarek opartych na Chromium, lecz tylko niektórych. Zaniepokojonym problemem użytkownikom polecamy rozwiązanie w postaci instalacji rozszerzenia o nazwie „StopTheMadness” dla przeglądarek Safari, Firefox oraz Chrome (i każdej innej opartej na Chromium, takiej jak Brave, Microsoft Edge, Opera i Vival-di). Jest to proste rozszerzenie, które utrudnia stronom internetowym korzystanie ze schow-ka przez przeglądarkę, a tym samym chroni Twoją prywatność w sieci.