В обозревателе Google Chrome версии 104 специалисты обнаружили серьезную ошибку, которая может способствовать утечке конфиденциальных данных пользователей. На этот раз проблема обнаружена в реализации работы с буфером обмена. Принято, чтобы операция записи в буфер обмена осуществлялась только после явной команды пользователя, однако специалисты выяснили, данное условие часто не соблюдается разработчиками.
В процессе работы за ПК пользователи активно используют буфер обмена, который позволяет быстро перенести данные между приложениями. Нередко необходимо перенести и конфиденциальные данные: пароли, реквизиты карты, номера телефонов и т.д. Эксплуатируя уязвимость, злоумышленники могут использовать поддельные интернет-сайты для атаки. К примеру, они могут создать поддельный сервис для работы с криптовалютой и манипулировать информацией о кошельках пользователей.
Специалисты также отметили, что обозреватели Firefox и Safari также позволяют осуществлять запись информации в буфер обмена. При этом используются дополнительные механизмы защиты, но они не способны обеспечить надежную защиту от внешнего воздействия. Изучение популярных браузеров показало, что ни один из не способен обеспечить надежную защиту от атак данного типа. Классическая комбинация клавиш для копирования данных в буфер обмена – «CTRL+C» (для платформы macOS – «CMD+C»). Однако есть и другие способы получить доступ к данному ресурсу, включая совершенно неочевидные, например, при помощи навигационных клавиш со стрелками.
Проверить наличие данной уязвимости в браузере можно на странице webplatform.news. Достаточно перейти на сайт и попробовать вставить содержимое буфера обмена в любой текстовый редактор. При наличии бага будет вставлен текст с соответствующим предупреждением.
Специалисты отметили, что передали результаты исследования представителям Google, но ответа или публикации готового решения пока не последовало.