Chrome permette ai siti di accedere alla clipboard

Chrome permette ai siti di accedere alla clipboard

Un bug introdotto con Chrome 104 permette ai siti visitati dall'utente di sovrascrivere il contenuto della clipboard del sistema operativo.
Chrome permette ai siti di accedere alla clipboard
Un bug introdotto con Chrome 104 permette ai siti visitati dall'utente di sovrascrivere il contenuto della clipboard del sistema operativo.

Chrome 104 ha introdotto un bug che permette ai siti web di accedere alla clipboard (appunti). Il problema di sicurezza, presente anche nell’ultima versione 105, potrebbe consentire ad un malintenzionato di sostituire il testo copiato all’insaputa dell’utente. Esistono diversi malware che leggono la clipboard e inviano il testo a server remoti.

Accesso alla clipboard: problema non risolto

La clipboard è lo storage temporaneo del sistema operativo in cui viene conservato il testo durante le operazioni di copia e incolla o taglia e incolla. Firefox e Safari richiedono una gesture (il famoso CTRL+C su Windows) per copiare un testo negli appunti. Chrome 104 e altri browser basati su Chromium (Brave escluso) copiano il testo senza gesture. È sufficiente visitare un sito per sovrascrivere il testo presente nella clipboard.

Per verificare l’esistenza del bug è sufficiente visitare il sito Web Platform News ed usare la gesture CTRL+V in un documento. Gli utenti vedranno il seguente testo:

Hello, this message is in your clipboard because you visited the website Web Platform News in a browser that allows websites to write to the clipboard without the user’s permission. Sorry for the inconvenience. For more information about this issue, see https://github.com/w3c/clipboard-apis/issues/182.

La vulnerabilità è stata segnalata, ma non può essere risolta facilmente perché il fix attuale causa problemi ad altre funzionalità di Chrome. Gli utenti devono quindi prestare molta attenzione al testo incollato nelle pagine web. Esistono ad esempio diversi malware che sostituiscono gli indirizzi dei wallet con quelli dei cybercriminali. L’ignaro utente farà così una “donazione” involontaria in criptovalute.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
1 set 2022
Link copiato negli appunti