,,

環球要聞：Chrome 104權限設置bug讓網站無需詢問即可寫入內容到剪貼板

2022-09-01 17:39:16 來源：cnBeta.COM

開發人員 Jeff Johnson 在一篇博客文章中指出，Google 在 Chrome 104 中意外引入了一個 bug 。由于一個權限設置失誤，導致網站無需獲準用戶許可、即可將相關內容寫入系統剪貼板。雖然 Safari 和 Firefox 也有類似的功能，但至少 Apple 和 Mozilla 有設置相應的防護措施。

訪問：

【資料圖】

阿里云1核2G云服務器低至1折最高可得500元滿減優惠券

據悉，剪貼板是操作系統上的一個臨時存儲空間。但由于常用于復制 / 粘貼的中轉站，剪貼板很可能涉及銀行賬號、加密貨幣錢包字符串、以及密碼等敏感信息。

當用戶選擇從網頁上復制一段文本時，某些網站可能會加上額外的內容 —— 比如當前頁面的網址（URL）—— 而沒有任何可見的指示或交互。
若被任意內容覆蓋這個臨時存儲空間，用戶將面臨較高的風險，導致其成為潛在惡意活動的受害者。

Jeff Johnson 在博客文章中強調 —— 所有支持剪貼板寫入的 Web 瀏覽器，都具有較差且不充分的防護措施。

舉個例子，攻擊者可能引誘用戶訪問冒充合法加密貨幣服務的特制網站。當用戶嘗試付款、并將錢包地址復制到剪貼板時，該 bug 或導致相關信息被篡改。

（via BleepingComputer）

雖然許多剪貼板 API 交互都是通過 Ctrl+C 這樣的快捷鍵實現的，但在許多情況下，網站交互可以做到更加神不知鬼不覺。

Johnson 在 Safari 和 Firefox 上的測試表明，即使按了向下 ↓ 箭頭、或使用鼠標滾輪在網站上導航，都可被授予當前加載頁面的剪貼板寫入權限。
要確定該問題是否影響您的 Web 瀏覽器，可移步至 webplatform.news 示例站點，看相關操作是否會將內容注入到用戶系統的剪貼板里、然后嘗試將內容‘粘貼’到 Windows 記事本。

目前 Chrome 開發團隊已經意識到了這個問題，但尚未立即修復。慶幸的是，它對當前版本的移動 / 桌面版 Chrome 瀏覽器的影響并不大。

關鍵詞： Google Chrome 谷歌瀏覽器 Chrome 104權限設置bug讓網