Abo
  • IT-Karriere:

Pastejacking im Browser: Codeausführung per Copy and Paste

Browser können den Inhalt der Zwischenablage selbstständig verändern. In einem Proof-of-Concept wird gezeigt, wie diese Funktion für Angriffe genutzt werden kann - und Nutzer sich recht einfach schützen können.

Artikel veröffentlicht am ,
Nein, hier geht es nicht um Google.
Nein, hier geht es nicht um Google. (Bild: Martin Wolf/Golem.de)

Der Github-Nutzer mit dem Pseudonym Dxa4481 hat einen Proof-of-Concept vorgestellt, mit dem er demonstrieren will, dass das Kopieren und Ausführen von Textpassagen von Webseiten gefährlich sein kann, wenn Nutzer den Inhalt in ihr Terminal einfügen und dort ausführen.

Stellenmarkt
  1. WEINMANN Emergency Medical Technology GmbH + Co. KG, Hamburg
  2. Hays AG, Hamburg

Denn moderne Browser können einen eigenen Zugriff auf die Zwischenablage erhalten und so andere Inhalte kopieren, als vom Nutzer intendiert. Angreifer könnten sich das zunutze machen, um Nutzern gefälschte Kommandos unterzuschieben. Ein denkbares Angriffsszenario wären Linux-Einsteiger, die sich von Webseiten Kommandozeilenbefehle kopieren, wenn sie selbst nicht mehr weiterwissen.

Keine Aktivierung durch Nutzer mehr erforderlich

Dass Browser auf die Zwischenablage zugreifen können, ist schon länger bekannt. Verschiedene Webseiten fügen von Nutzern kopierten Inhalten zum Beispiel eigene Informationen hinzu, etwa eine Beschreibung der Webseite oder die URL, von der der Inhalt kopiert wurde. Aktuelle Browser unterstützen die Funktion, auch Firefox-Nutzer müssen diese seit der Version 41 nicht mehr manuell über die user.js aktivieren. Die Funktion kann aber über about:preferences deaktiviert werden.

Für den Angriff nutzt Dxa4881 die "paste"-Funktion von Document.exec.Command(). Fügt ein Nutzer Inhalte in die Zwischenablage ein, wird im Hintergrund automatisch ein Script gestartet, das die Zwischenablage mit dem gewünschten Inhalt überschreibt. Als Beispiel wird bei Github die ursprüngliche Eingabe echo "not evil" in echo "evil"\n geändert. Durch den Newline-Parameter wird der Code nach dem Einfügen in die Kommandozeile automatisch ausgeführt. Der PoC wird auch auf einer eigenen Webseite dokumentiert.

Eingabe kann vertuscht werden

Im aktuellen Beispiel würde der Nutzer allerdings sofort mitbekommen, dass etwas nicht stimmt. Die Eingabe der Befehle könnte aber auch verdeckt werden, wenn der Befehl "clear" verwendet wird und am Ende die vom Nutzer eigentlich kopierte Eingabe angezeigt wird.

Als Beispiel für einen realen Angriff auf Linux-Nutzer zeigt Dxa4881, wie die unter /etc/passwd abgelegten Passwörter kopiert werden können, ohne dass Nutzer es mitbekommen. Dazu wird der Befehl "copyTextToClipboard('echo "evil"\n \x1b:!cat /etc/passwd\n');" in die Zwischenablage eingefügt.

In dem Post wird darauf hingewiesen, dass einige Terminal-Programme wie iTerm eine automatische Warnung ausgeben, wenn Inhalte eingefügt werden, die mit einem Newline-Kommando enden. Nutzer können dann manuell bestätigen, dass sie den Inhalt trotzdem ausführen können, oder das Kommando entfernen.

Der einfachste Schutz gegen diese Art von Angriffen ist aber natürlich ein deutlich einfacherer: Bevor die Kommandos in die Kommandozeile wandern, werden sie im Editor eingefügt und vom Nutzer selbst überprüft.



Anzeige
Spiele-Angebote
  1. 54,99€
  2. 137,70€
  3. (-90%) 5,99€
  4. 3,99€

Vanger 25. Mai 2016

Hatte es nur mit Firefox 44.0.2 unter Debian Jessie getestet, auch nachdem ich es jetzt...

My1 25. Mai 2016

deswegen sage ich ja erst alles einlesen und das dann bestätigen. ich finde das mit dem...

zZz 25. Mai 2016

Das Problem ist bei Bindestrichen und Anführungszeichen, dass viele CMS aus einem...

zZz 25. Mai 2016

Nein, das ist ein Feature. Das im Artikel beschriebene Problem ist ja, dass etwas anderes...

My1 25. Mai 2016

ne. Javascript konnte man früher über inhalt ausmachen aber die spätestens seit 29 ist...


Folgen Sie uns
       


Sega Dreamcast (1999) - Golem retro

Am 9.9.1999 startete Segas letzte Konsole in ein kurzes, aber erfülltes Spieleleben.

Sega Dreamcast (1999) - Golem retro Video aufrufen
Elektrautos auf der IAA: Die Gezeigtwagen-Messe
Elektrautos auf der IAA
Die Gezeigtwagen-Messe

IAA 2019 Viele klassische Hersteller fehlen bei der IAA oder zeigen Autos, die man längst gesehen hat. Bei den Elektroautos bekommen alltagstaugliche Modelle wie VW ID.3, Opel Corsa E und Honda E viel Aufmerksamkeit.
Ein Bericht von Dirk Kunde

  1. Umfrage Kunden fühlen sich vor Elektroautokauf schlecht beraten
  2. Batterieprobleme Auslieferung des e.Go verzögert sich
  3. ID Charger VW bringt günstige Wallbox auf den Markt

Mobile-Games-Auslese: Superheld und Schlapphutträger zu Besuch im Smartphone
Mobile-Games-Auslese
Superheld und Schlapphutträger zu Besuch im Smartphone

Markus Fenix aus Gears of War kämpft in Gears Pop gegen fiese (Knuddel-)Aliens und der Typ in Tombshaft erinnert an Indiana Jones: In Mobile Games tummelt sich derzeit echte und falsche Prominenz.
Von Rainer Sigl

  1. Mobile-Games-Auslese Verdrehte Räume und verrückte Zombies für unterwegs
  2. Dr. Mario World im Test Spielspaß für Privatpatienten
  3. Mobile-Games-Auslese Ein Wunderjunge und dreimal kostenloser Mobilspaß

Apple TV+: Apples Videostreamingdienst ist nicht konkurrenzfähig
Apple TV+
Apples Videostreamingdienst ist nicht konkurrenzfähig

Bei so einem mickrigen Angebot hilft auch ein mickriger Preis nicht: Apples Streamingdienst hat der Konkurrenz von Netflix, Amazon und bald Disney nichts entgegenzusetzen - und das wird sich auf Jahre nicht ändern.
Eine Analyse von Ingo Pakalski

  1. Apple TV+ Disney-Chef tritt aus Apple-Verwaltungsrat zurück
  2. Apple TV+ Apples Streamingangebot kostet 4,99 Euro im Monat
  3. Videostreaming Apple TV+ startet mit fünf Serien für 10 US-Dollar monatlich

    •  /