Chrome sürüm 104, yanlışlıkla ziyaret ettikleri web sitelerinden panoya yazma etkinliklerini onaylama zorunluluğunu ortadan kaldıran bir hata ortaya çıkardı.
Bu işlev, Google Chrome ile sınırlı değildir. Safari ve Firefox, web sayfalarının sistem panosuna yazmasına da izin verir, ancak yerinde hareket tabanlı korumaları vardır.
Chrome geliştiricilerinin sahip olduğu tanımlanmış sorun ancak henüz bir düzeltme gelmedi, bu nedenle mobil ve masaüstü için Google Chrome tarayıcısının mevcut sürümlerinde devam ediyor.
Problem ne?
Sistem panosu, işletim sistemlerinde geçici bir depolama konumudur. Genellikle kopyala-yapıştır için kullanılır ve bankacılık hesap numaraları, kripto para cüzdanı dizeleri veya parolalar gibi hassas bilgileri içerebilir.
Bu geçici depolama alanının üzerine rastgele içerik yazmak, kullanıcıları kötü niyetli etkinliklerin kurbanı olabilecekleri için riske sokar.
Tehdit aktörleri, kullanıcıları meşru bir kripto para birimi hizmetini taklit eden özel hazırlanmış web sitelerine çekebilir. Kullanıcı ödeme yapmaya çalıştığında ve cüzdan adresini panoya kopyaladığında, web sitesi panoya tehdit aktörünün adresini yazabilir.
Bazı web sitelerinde, kullanıcı bir web sayfasından kopyalanacak metni seçtiğinde, panoya ek içerik eklenir (genellikle sayfa URL’si). Ancak bu durumda, pano herhangi bir görünür gösterge veya kullanıcı etkileşimi olmaksızın keyfi içerikle dolar.
Beni bundan ne korur?
Geliştirici Jeff Johnson’ın öne çıkan özellikleri bir blog yazısı konuyu araştıran, panoya yazmayı destekleyen tüm web tarayıcılarının zayıf ve yetersiz korumaları vardır.
Bir web sayfasına pano API’sini kullanma izni veren kullanıcı hareketleri, içeriği kopyalamak için klavye kısayolunu (Ctrl+C) içerir, ancak çoğu durumda, yalnızca web sitesiyle herhangi bir etkileşim yeterlidir.
Johnson, Safari ve Firefox üzerinde test yaptı ve bir sitede gezinmek için aşağı ok tuşuna basmanın veya fare kaydırma tekerleğini kullanmanın yüklenen web sayfasına panoya yazma izni verdiğini buldu.
Bu eylemlerin ne kadar yaygın olduğu düşünüldüğünde, bu izin bir düzeltmeyi hak etmek için yeterince risklidir.
“Bir web sayfasında gezinirken, sayfa, bilginiz olmadan, sistem panonuzun sizin için değerli olabilecek mevcut içeriğini silebilir ve sayfanın istediği, sizin için tehlikeli olabilecek herhangi bir şeyle değiştirebilir. bir dahaki sefere yapıştırdığınızda. Web tarayıcısı satıcıları buna neden izin verdi?” – Jeff Johnson
Neyse ki Johnson’ın testleri, web sitelerinin pano içeriğini okumak için bu izni kötüye kullanamayacağını ve bu da kullanıcı gizliliğine zarar vereceğini doğruladı.
etkilendim mi?
Bu sorunun web tarayıcınızı etkileyip etkilemediğini belirlemek için “webplatform.haberler” ve ardından pano içeriğinizi Windows Not Defteri gibi bir metin uygulamasına “yapıştırın”.
Aşağıdaki mesajı görürseniz, tarayıcınız izinlerin kötüye kullanılmasına karşı savunmasızdır.
Yine de tüm Chromium tabanlı tarayıcılar bu sorundan etkilenmez. BleepingComputer’dan yapılan testlerde Brave, test sitesine panonun üzerine yazma izni vermedi.
Ancak, Johnson’ın ziyaretçi panosunu web sitesi gezinme eylemleriyle dolduran yerleşik test kutusu tüm tarayıcılarda çalıştı, bu nedenle tutarsızlığın nedeni belirsiz.
Johnson, bu sorun hakkında aşırı endişeli olan kullanıcıların kendi ‘Deliliği durdur‘ uzantısına sahiptir, ancak yine de her koşulda keyfi pano üzerine yazma işlemlerinden %100 korunmayacakları konusunda uyarır.