В браузере Google Chrome обнаружили ошибку, которая позволяет вредоносным сайтам контролировать буфер обмена
В версии браузера Google Chrome 104 обнаружилась ошибка, из-за которой конфиденциальные данные пользователей могут оказаться под угрозой: обычно запись в буфер обмена должна производиться по явной команде пользователя, однако эксперт по кибербезопасности Джефф Джонсон (Jeff Johnson) обнаружил, что эта мера защиты фактически не соблюдается.
Работая на компьютерах, люди пользуются буфером обмена десятки и даже сотни раз в день для переноса информации из одной программы в другую, и зачастую эта информация носит конфиденциальный характер: номера телефонов, адреса, пароли для входа в различные системы и платёжные данные. Эксплуатируя ошибку, злоумышленники могут создавать поддельные сайты криптовалютных сервисов и манипулировать адресами кошельков, предположил эксперт.
Господин Джонсон также отметил, что Safari и Firefox тоже позволяют производить запись в буфер обмена, но они обладают дополнительной защитой, которая, впрочем, не всегда эффективна: эксперт утверждает, что во всех активно используемых сегодня веб-браузерах отсутствуют адекватные меры защиты. Общепринятым сочетанием клавиш для записи данных в буфер обмена является «CTRL+C» (или «CMD+C» на macOS), однако на практике доступ к этому системному ресурсу можно получить другими способами, совершенно неочевидными для пользователя, например, нажатием клавиши со стрелкой для прокрутки страницы.
Проверить подверженность браузера данной ошибке можно, посетив сайт по адресу webplatform.news и попытавшись вставить данные из буфера обмена в любую другую программу: если браузер уязвим, то вставится текст с предупреждением. Разработчики Google Chrome уже осведомлены о проблеме, но решения они пока не представили.