В браузере Google Chrome обнаружили ошибку, которая позволяет вредоносным сайтам контролировать буфер обмена

В версии браузера Google Chrome 104 обнаружилась ошибка, из-за которой конфиденциальные данные пользователей могут оказаться под угрозой: обычно запись в буфер обмена должна производиться по явной команде пользователя, однако эксперт по кибербезопасности Джефф Джонсон (Jeff Johnson) обнаружил, что эта мера защиты фактически не соблюдается.

Источник изображения: google.com

Работая на компьютерах, люди пользуются буфером обмена десятки и даже сотни раз в день для переноса информации из одной программы в другую, и зачастую эта информация носит конфиденциальный характер: номера телефонов, адреса, пароли для входа в различные системы и платёжные данные. Эксплуатируя ошибку, злоумышленники могут создавать поддельные сайты криптовалютных сервисов и манипулировать адресами кошельков, предположил эксперт.

Господин Джонсон также отметил, что Safari и Firefox тоже позволяют производить запись в буфер обмена, но они обладают дополнительной защитой, которая, впрочем, не всегда эффективна: эксперт утверждает, что во всех активно используемых сегодня веб-браузерах отсутствуют адекватные меры защиты. Общепринятым сочетанием клавиш для записи данных в буфер обмена является «CTRL+C» (или «CMD+C» на macOS), однако на практике доступ к этому системному ресурсу можно получить другими способами, совершенно неочевидными для пользователя, например, нажатием клавиши со стрелкой для прокрутки страницы.

Проверить подверженность браузера данной ошибке можно, посетив сайт по адресу webplatform.news и попытавшись вставить данные из буфера обмена в любую другую программу: если браузер уязвим, то вставится текст с предупреждением. Разработчики Google Chrome уже осведомлены о проблеме, но решения они пока не представили.