O que aconteceu? Uma vulnerabilidade do navegador que afeta o Chrome, Firefox e Safari foi descoberta após uma versão recente do software Chrome. Os desenvolvedores do Google identificaram o ataque baseado na área de transferência, que permite que sites maliciosos substituam o conteúdo da área de transferência de um usuário quando o usuário não faz nada além de visitar uma página da Web comprometida. A vulnerabilidade também afeta todos os navegadores baseados no Chromium, mas parece ser mais prevalente no Chrome, onde um gesto do usuário usado para copiar o conteúdo é relatado como quebrado.
O desenvolvedor do Google, Jeff Johnson, explicou como a vulnerabilidade pode ser acionada de várias maneiras, todas as quais concedem à página permissões para substituir o conteúdo da área de transferência. Uma vez concedido, os usuários podem ser afetados ao acionar ativamente uma ação de cortar ou copiar, clicar em links na página ou até mesmo realizar ações tão simples como rolar para cima ou para baixo na página em questão.
Johnson elaborou o bug, apontando que enquanto os usuários do Firefox e Safari precisam copiar ativamente o conteúdo para a área de transferência usando Control+C ou ⌘-C, os usuários do Chrome podem ser afetados simplesmente visualizando uma página maliciosa para não mais do que uma fração de segundo.
A postagem no blog de Johnson faz referência a exemplos de vídeo de Šime, um criador de conteúdo especializado em conteúdo voltado para desenvolvedores da web. As demonstrações de Šime revelam a rapidez com que os usuários do Chrome podem ser afetados, com a vulnerabilidade acionada simplesmente alternando entre as guias ativas do navegador. Independentemente de quanto tempo ou que tipo de interação o usuário leva, o site malicioso substitui instantaneamente qualquer conteúdo da área de transferência pelo que o agente da ameaça decidir entregar.
Para poder gravar na área de transferência, o site precisa estar na guia ativa. Alternar rapidamente as guias é suficiente. Você não precisa interagir com o site ou olhar para ele por mais de um décimo de segundo. pic.twitter.com/KzsT6UByAq
— Šime (ˈshe-meh) (@simevidas) 2 de setembro de 2022
Johnson’s blog fornece detalhes técnicos descrevendo como uma página pode obter permissão para gravar na área de transferência do sistema. Um método usa um comando agora obsoleto, document.execCommand.
Outro método aproveita a API navigator.clipboard.writetext mais recente, que tem a capacidade de escrever qualquer texto para a área de transferência sem a necessidade de ações adicionais. O blog de Johnson inclui uma demonstração de como ambas as abordagens para a mesma vulnerabilidade funcionam.
Embora a vulnerabilidade possa não parecer prejudicial à primeira vista, os usuários devem estar cientes de como os agentes mal-intencionados podem aproveitar a troca de conteúdo para explorar vítimas inocentes. Por exemplo, um site fraudulento pode substituir um URL copiado anteriormente por outro URL fraudulento, levando o usuário inadvertidamente a sites adicionais projetados para capturar informações e comprometer a segurança.
A vulnerabilidade também fornece aos agentes de ameaças a capacidade de substituir endereços de carteira de criptomoeda copiados salvos no área de transferência com o endereço de outra carteira controlada por um terceiro malicioso. Depois que a transação ocorre e os fundos são enviados para a carteira fraudulenta, o usuário vitimado normalmente tem pouca ou nenhuma capacidade de rastrear e recuperar seus fundos.
De acordo com The Hacker Notícias, o Google está ciente da vulnerabilidade e deve lançar um patch em um futuro próximo. Até lá, os usuários devem ter cuidado, evitando abrir páginas usando conteúdo copiado com base na área de transferência e verificar a saída de seu conteúdo copiado antes de continuar com qualquer atividade que possa comprometer sua segurança pessoal ou financeira.
