獨立安全研究員 CIA Officer 近日引用來自 Hacker News 的內容指出,Chrome 瀏覽器能在未經用戶允許的情況下重新改寫剪貼簿內容,這僅需要一行代碼就能實現,且所有基於 Chromium 開源代碼的瀏覽器皆可能受到影響。
他非常訝異有關剪貼簿的攻擊向量,一直隨著時間推移而不斷變化,只要網站域名遭劫持,剪貼簿內容就有可能被惡意更改。
Hacker News 上的貼文提供了一個實驗性質的網站。在基於 Chromium 的瀏覽器中訪問網站 (https://webplatform.news/),網站看似正常,但可以發現剪貼簿已被更改為以下內容:
區塊鏈安全機構 SlowMist 創辦人余弦在推特表示,此類攻擊僅需一行 JavaScript 惡意代碼就能實現,用戶可能因訪問不明網站而遭竄改剪貼簿原本的錢包地址。
且不僅只有 Chrome,還有 Brave、Edge 等基於 Chromium 的瀏覽器皆會受到此類攻擊,但手機端、Firefox、Safari 可能不受影響。
