Chrome, un bug permette ai siti web di scrivere negli appunti. Ma anche gli altri browser non sono al sicuro

Nella versione 104 del browser Google Chrome è presente un bug che consente ai siti web che si visitano di scrivere negli appunti senza che venga chiesta l'approvazione all'utente. Il problema si estende anche a molti browser basati su Chromium.

Gli appunti di sistema sono una posizione di archiviazione temporanea che i sistemi operativi sfruttano per copiare dati "di passaggio" e viene di norma utilizzata per le operazioni copia-incolla. Per questo motivo spesso negli appunti transitano dati sensibili come numeri di conto bancario, indirizzi di wallet di criptovaluta, numeri di carta di credito e anche password.

La possibilità di accedere a questa porzione di spazio può consentire ad un aggressore di mettere in atto alcune tecniche per colpire gli utenti. Per esempio sarebbe possibile, su queste basi, realizzare un sito web che si pone da legittimo servizio di criptovaluta capace di modificare negli appunti l'eventuale indirizzo copiato da un utente che cerca di effettuare una transazione.

Vale però la pena osservare che tutti i browser, anche quelli basati su altri motori di navigazione, sfruttano spesso un sistema piuttosto blando di autorizzazione basato su gesture o interazioni dell'utente, senza che venga chiesto un consenso esplicito: del resto quante volte abbiamo ricevuto una chiara richiesta di consenso per copiare il contenuto di una pagina web negli appunti?

In alcuni casi, come su Safari e Firefox, ad esempio è sufficiente la pressione di un tasto o il movimento della rotellina del mouse perché il browser ritenga concesso il permesso dell'utente. Considerando quanto queste azioni siano comuni si tratta di meccanismi che probabilmente richiedono una correzione. La parziale buona notizia è il fatto che queste falle o debolezze non possono essere abusate per leggere i contenuti degli appunti, cosa che porrebbe la faccenda su un livello di rischio del tutto differente.

Volete sapere se il browser che usate abitualmente soffre di questo problema? E' sufficiente recarsi sul sito https://webplatform.news, effettuare semplici interazioni con il sito (scorrere la pagina, premere qualche tasto) quindi aprire il blocco note e copiare il contenuto degli appunti. Il nostro browser sarà interessato dal problema nel caso in cui venga copiato il seguente messaggio:

Hello, this message is in your clipboard because you visited the website Web Platform News in a browser that allows websites to write to the clipboard without the user’s permission. Sorry for the inconvenience. For more information about this issue, see https://github.com/w3c/clipboard-apis/issues/182.

Il ricercatore che si è occupato di studiare questo problema, Jeff Johnson, ha realizzato l'estensione "StopTheMadness" per mitigare il problema, anche se egli indica che l'estensione non è in grado di assicurare una protezione completa dal verificarsi del fenomeno in tutte le situazioni.