image

Google Chrome laat websites zonder toestemming data naar clipboard schrijven

zondag 28 augustus 2022, 13:55 door Redactie, 9 reacties

Google Chrome en andere Chromium-gebaseerde browsers laten websites zonder toestemming of een handeling van gebruikers data naar het clipboard schrijven, zo meldt webontwikkelaar Sime Vidas. Hij maakte een proof-of-concept website waarmee Chrome-gebruikers dit kunnen testen. Het gaat om webplatform.news. Zodra de website via een Chromium-gebaseerde browser is bezocht staat er tekst in het clipboard dat door de site daar is geplaatst.

Bij Firefox en Safari hebben websites niet de mogelijkheid om zonder actie van gebruikers data naar het clipboard te schrijven. De ontwikkelaars van Brave zouden hebben overwogen om de feature uit te schakelen, aldus Vidas. Op Hacker News wordt gesproken van een bug in de browser.

Het clipboard van gebruikers kan een interessant doelwit voor aanvallers zijn. Gebruikers van cryptovaluta die een betaling willen doen of geld naar een andere wallet willen overmaken kopiëren hiervoor vaak het walletadres van de begunstigde en plakken dat vervolgens in een veld op de transactiepagina. Op dat moment bevindt het adres zich in het clipboard van de computer. Er is allerlei malware in omloop die het adres in het clipboard aanpast, zodat gebruikers geld naar de verkeerde wallet overmaken.

Reacties (9)
28-08-2022, 15:11 door Anoniem
Ik vind de mogelijkheid voor een website om het clipboard te lezen via de clipboard api ernstiger. Er zou zomaar een wachtwoord of een teams link in kunnen staan.

Maar ja, het is zo makkelijk als het kan.
28-08-2022, 19:13 door Anoniem
Bedankt. Dit artikel is tenminste wel volledig duidelijk. Op een andere site kon ik er geen touw aan vast plakken.
29-08-2022, 09:55 door Anoniem
duckduckgo beveiliging tegen trackers en mail beveiliging. goede browser.
29-08-2022, 10:30 door Anoniem
Dit is echt een FEATURE!!!!
29-08-2022, 11:05 door Anoniem
PoC werkt niet bij mij, maar ja, ik heb default noScript aanstaan ;)
29-08-2022, 12:03 door nicolaasjan - Bijgewerkt: 29-08-2022, 12:08
Tip:
De volgende regel in uBlock Origin voorkomt het:

*##+js(acis, navigator.clipboard)

Of specifiek voor PoC site:

webplatform.news##+js(acis, navigator.clipboard)
29-08-2022, 12:10 door Anoniem
Ublock voorkomt veel maar kan uitgeschakeld worden door Chrome en Edge.
En dat zonder mededeling vooraf.9f
29-08-2022, 14:38 door nicolaasjan - Bijgewerkt: 29-08-2022, 14:44
Door Anoniem: Ublock voorkomt veel maar kan uitgeschakeld worden door Chrome en Edge.
En dat zonder mededeling vooraf.9f
Hoe kan uBO worden uitgeschakeld dan?
Doel je op de aanstaande verplichting van Manifest V3 in Chromium?
De developer is er van op de hoogte en zal zeker proberen het zo goed mogelijk werkend te houden.
https://github.com/uBlockOrigin/uBlock-issues/issues/338
04-09-2022, 17:48 door Anoniem
DIt is een heel ernstige fout die Google liefst zo snel als't maar kan dient op te lossen. En het bewijst mijn stelling dat één brower-engine met zo'n gigantisch marktaandeel een superslechte zaak is voor de veiligheid.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.