Chrome 104 ha introdotto un bug che permette ai siti web di accedere alla clipboard (appunti). Il problema di sicurezza, presente anche nell’ultima versione 105, potrebbe consentire ad un malintenzionato di sostituire il testo copiato all’insaputa dell’utente. Esistono diversi malware che leggono la clipboard e inviano il testo a server remoti.
Accesso alla clipboard: problema non risolto
La clipboard è lo storage temporaneo del sistema operativo in cui viene conservato il testo durante le operazioni di copia e incolla o taglia e incolla. Firefox e Safari richiedono una gesture (il famoso CTRL+C su Windows) per copiare un testo negli appunti. Chrome 104 e altri browser basati su Chromium (Brave escluso) copiano il testo senza gesture. È sufficiente visitare un sito per sovrascrivere il testo presente nella clipboard.
Per verificare l’esistenza del bug è sufficiente visitare il sito Web Platform News ed usare la gesture CTRL+V in un documento. Gli utenti vedranno il seguente testo:
Hello, this message is in your clipboard because you visited the website Web Platform News in a browser that allows websites to write to the clipboard without the user’s permission. Sorry for the inconvenience. For more information about this issue, see https://github.com/w3c/clipboard-apis/issues/182.
La vulnerabilità è stata segnalata, ma non può essere risolta facilmente perché il fix attuale causa problemi ad altre funzionalità di Chrome. Gli utenti devono quindi prestare molta attenzione al testo incollato nelle pagine web. Esistono ad esempio diversi malware che sostituiscono gli indirizzi dei wallet con quelli dei cybercriminali. L’ignaro utente farà così una “donazione” involontaria in criptovalute.