东方时讯网GoogleChrome的当前实时版本-版本104-引入了一个可能危及您的敏感数据的错误。通常,剪贴板写入事件必须得到用户的批准,但是安全专家JeffJohnson发现了这个错误(在新标签中打开),已发现已删除此要求。
我们中的许多人每天使用我们的剪贴板数十或数百次将信息从一个位置复制和粘贴到另一个位置,其中一些信息可能包含敏感信息,如电话号码、地址、密码和登录详细信息,甚至支付信息。
约翰逊担心,基于此缺陷的诈骗可能会被用来引诱用户将他们的钱包地址复制到虚假加密货币网站的系统剪贴板中,这可能会给整个数字钱包带来风险。
他警告说,谷歌的网络浏览器并不是唯一使用这种系统的浏览器。同一来源表明Safari和Firefox也“允许网页写入系统剪贴板”,但它们具有基于手势的保护以提供安全元素。
Johnson总结了缺乏足够的保护措施来保护所有适用的Web浏览器中的系统剪贴板。
最常用的用户手势是Ctrl+C(Mac用户为Cmd+C),但他发现只需按下向下箭头键滚动浏览网站就足以让网站获得计算机剪贴板的权限。
方便地,有一些网站可以检查您是否受到影响。一个这样的网站是webplatform.news(在新标签中打开),当被访问时,它可能能够添加到您的剪贴板。您需要做的就是访问该站点并将剪贴板中可能存在的任何内容粘贴到空白区域中,例如新的Word文档。如果您看到以下内容,则您使用的浏览器正在危及您的安全:
“您好,此消息在您的剪贴板中,因为您在浏览器中访问了WebPlatformNews网站,该浏览器允许网站在未经用户许可的情况下写入剪贴板。带来不便敬请谅解。有关此问题的更多信息,请参阅https://github.com/w3c/clipboard-apis/issues/182。”
谷歌的Chrome开发者团队已经意识到了这个问题,但是还没有找到解决办法。