Kerentanan: Clipboard gratis untuk diakses di browser berbasis Chromium

Browser web berbasis Chromium seperti Microsoft Edge atau Google Chrome memungkinkan situs web dalam versi mereka saat ini untuk mengakses clipboard sistem tanpa interaksi pengguna. Ini memungkinkan situs web untuk meletakkan data mereka sendiri di clipboard, yang nantinya dapat disalin oleh pengguna yang tidak digunakan lagi ke dalam formulir, misalnya. Ini menjadi risiko ketika datang ke transaksi cryptocurrency atau data serupa.

Alasannya adalah interaksi pengguna yang dinonaktifkan dan tidak perlu: seorang karyawan Microsoft mengalami masalah pengujian saat membuka tab pekerjaan baru NewTabPageDoodleShareDialogFocusTest.All Gagal. Namun, tanpa tindakan sebelumnya yang diperlukan dari pengguna seperti menekan kombinasi tombol Ctrl + C untuk mengakses clipboard, semuanya berfungsi sebagaimana mestinya. Tanpa basa-basi lagi, persyaratan pengguna wajib harus memberi jalan untuk pengujian kinerja.

Papan klip dapat diakses sebagai solusi untuk Frickel

di Pengembang menjelaskan laporan kesalahan Setidaknya ini bukan solusi yang baik dan perlu diparafrasekan: “Kami menonaktifkan persyaratan interaksi pengguna untuk membaca/menulis teks untuk saat ini, tetapi kami harus mempertimbangkan kembali.” Perselisihan yang sedang berlangsung telah muncul di pelacak bug tentang betapa pentingnya perbaikan untuk perilaku yang tidak terduga dan kritis terhadap keamanan ini. Bagaimanapun, para pengembang menyadari urgensi tertentu.

Peramban web lain seperti Di sisi lain, Safari atau Firefox memberlakukan tindakan pengguna sebelumnya untuk mengakses papan klip. Sekarang setelah perilaku yang salah saat ini dari browser web berbasis Chromium mengenai clipboard diketahui, perbaikannya tidak akan lama lagi.

Namun, agar browser web seperti Chrome atau Edge diamankan dalam hal ini, pengguna harus memeriksa dengan cermat apakah data tersebut memang benar sebelum menempelkan konten yang disalin ke dalam formulir atau dokumen. Jika situs web yang dikunjungi menyalin alamat Bitcoin atau nomor dompet yang salah ke clipboard, uang terenkripsi dapat mengalir ke penerima yang salah – yang dilakukan malware Evrial dengan memantau dan memanipulasi clipboard.

(DMK)