Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (63)
  • добавить в избранное
    Добавить в закладки

Ctrl + C, Ctrl + V = угроза

Прочитали: 5726 Комментариев: 103 Рейтинг: 131

Время от времени каждый из нас копирует какие-либо фрагменты текстов с сайтов или из документов. Мы уже предупреждали о том, что кликать по ссылкам на страницах сайтов небезопасно, так как на самом деле по клику может выполняться совсем иная команда. Но теперь выясняется, что и копировать простой текст становится опасно.

Новая атака подменяет данные силами JavaScript, отслеживая событие копирования из текущего окна браузера в буфер обмена – определив нажатие Ctrl+C, скрипт ожидает 800 мс и осуществляет добавление дополнительных данных в буфер обмена. При этом браузер не запрашивает у пользователя подтверждения операции по изменению содержимого буфера обмена, а копируемая строка в представлении HTML соответствует строке на экране.

https://www.opennet.ru/opennews/art.shtml?num=44481

Всем известно, что сайты могут отслеживать (и пытаться блокировать) попытки копирования информации. Но этот же функционал может использоваться и для добавления в буфер обмена дополнительной информации. В частности, так поступают многие сайты, добавляя адрес страницы к скопированному тексту. А раз можно добавить безобидную информацию, то можно «подбросить» в буфер обмена и нечто вредоносное. И вы этого не заметите!

Для сокрытия информации могут использоваться спецсимволы. Вот пример для известной пользователям UNIX утилиты vim:

В демонстрационном примере предлагается скопировать из окна браузера в буфер обмена строку (выделить и нажать Ctrl+C):

echo "not evil"

при вставке которой в терминал будет выведена совсем иная последовательность:

echo "evil"\n

Для скрытия лишнего ввода можно использовать команду "clear" или "echo -ne '\033[1F\033[2K'", например, в данном примере будет выполнено:

touch ~/.evil
clear
echo "not evil"

То есть, используя в добавленном тексте управляющие команды, злоумышленник может заменить интересующий вас текст на нужный ему.

Вариантов подобной атаки существует множество. Скажем, многие используют систему git для хранения исходных текстов программ. Работа с этой системой может осуществляться через сайт.

Опубликован метод скрытия частей кода при выводе изменений при помощи команды "git diff", которая часто используется для изучения присылаемых патчей. Добавив в код escape-последовательность "[8m" атакующий может сделать невидимой часть при выводе на экран с использованием терминала, поддерживающего команды VT100.

#drweb

http://www.opennet.ru/opennews/art.shtml?num=47759

Для непрограммистов: команда вывода текста printf должна вывести на экран фразу "I'm just a stub!", но выводит фразу "I'm just a stub! Insert bad backdoor here...!" - часть текста невидима на экране.

А вот атака от 2013 года – но до сих пор работающая:

Опубликована концепция атаки, рассчитанной на излишнее доверие к увиденным при копировании в терминал примерам команд с различных сайтов.

Используя невидимый, но помещаемый в буфер обмена при копировании блок "span", можно вместо невинного текста организовать выполнение в терминале произвольных команд.

https://www.opennet.ru/opennews/art.shtml?num=36619

Вы можете сами пройти по указанной ссылке, скопировать к себе строку, начинающуюся с git clone, и посмотреть, что будет вставлено.

В данном случае используется исключительно форматирование страницы сайта – никаких JavaScript.

#безопасность

Dr.Web рекомендует

  1. Не верьте глазам своим: еще до того, как вы запустите на исполнение код или нажмете клавишу Enter, проверяйте, что именно скопировалось.
  2. Копируйте текст в простой текстовый файл – не в Word и тем более не в командную строку (терминал).

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: