da Hardware Upgrade :
Nella versione 104 del browser Google Chrome presente un bug
che consente ai siti web che si visitano di scrivere negli appunti senza
che venga chiesta l’approvazione all’utente. Il problema si estende
anche a molti browser basati su Chromium.
Gli appunti di sistema sono una posizione di archiviazione temporanea che
i sistemi operativi sfruttano per copiare dati “di passaggio” e viene di
norma utilizzata per le operazioni copia-incolla. Per questo motivo spesso
negli appunti transitano dati sensibili come numeri di conto
bancario, indirizzi di wallet di criptovaluta, numeri di carta di credito
e anche password.
La possibilit di accedere a questa porzione di spazio pu consentire ad
un aggressore di mettere in atto alcune tecniche per colpire
gli utenti. Per esempio sarebbe possibile, su queste basi,
realizzare un sito web che si pone da legittimo servizio di criptovaluta
capace di modificare negli appunti l’eventuale indirizzo copiato da un
utente che cerca di effettuare una transazione.
Vale per la pena osservare che tutti i browser, anche quelli
basati su altri motori di navigazione, sfruttano spesso un sistema
piuttosto blando di autorizzazione basato su gesture o interazioni
dell’utente, senza che venga chiesto un consenso esplicito: del resto
quante volte abbiamo ricevuto una chiara richiesta di consenso per copiare
il contenuto di una pagina web negli appunti?
In alcuni casi, come su Safari e Firefox, ad esempio
sufficiente la pressione di un tasto o il movimento della rotellina del
mouse perch il browser ritenga concesso il permesso dell’utente.
Considerando quanto queste azioni siano comuni si tratta di meccanismi che
probabilmente richiedono una correzione. La parziale buona notizia il
fatto che queste falle o debolezze non possono essere abusate per leggere
i contenuti degli appunti, cosa che porrebbe la faccenda su un livello di
rischio del tutto differente.
Volete sapere se il browser che usate abitualmente soffre di questo
problema? E’ sufficiente recarsi sul sito https://webplatform.news,
effettuare semplici interazioni con il sito (scorrere la pagina, premere
qualche tasto) quindi aprire il blocco note e copiare il contenuto degli
appunti. Il nostro browser sar interessato dal problema nel caso in cui
venga copiato il seguente messaggio:
Hello, this message is in your clipboard
because you visited the website Web Platform News in a browser that
allows websites to write to the clipboard without the users permission.
Sorry for the inconvenience. For more information about this issue, see
https://github.com/w3c/clipboard-apis/issues/182.
Il ricercatore che si occupato di studiare questo problema, Jeff
Johnson, ha realizzato l’estensione “StopTheMadness” per mitigare il
problema, anche se egli indica che l’estensione non in grado di
assicurare una protezione completa dal verificarsi del fenomeno in tutte
le situazioni.