• IT-Karriere:
  • Services:

Pastejacking im Browser: Codeausführung per Copy and Paste

Browser können den Inhalt der Zwischenablage selbstständig verändern. In einem Proof-of-Concept wird gezeigt, wie diese Funktion für Angriffe genutzt werden kann - und Nutzer sich recht einfach schützen können.

Artikel veröffentlicht am ,
Nein, hier geht es nicht um Google.
Nein, hier geht es nicht um Google. (Bild: Martin Wolf/Golem.de)

Der Github-Nutzer mit dem Pseudonym Dxa4481 hat einen Proof-of-Concept vorgestellt, mit dem er demonstrieren will, dass das Kopieren und Ausführen von Textpassagen von Webseiten gefährlich sein kann, wenn Nutzer den Inhalt in ihr Terminal einfügen und dort ausführen.

Stellenmarkt
  1. über Jobware Personalberatung, Großraum Köln (Home-Office)
  2. Universität Potsdam, Potsdam

Denn moderne Browser können einen eigenen Zugriff auf die Zwischenablage erhalten und so andere Inhalte kopieren, als vom Nutzer intendiert. Angreifer könnten sich das zunutze machen, um Nutzern gefälschte Kommandos unterzuschieben. Ein denkbares Angriffsszenario wären Linux-Einsteiger, die sich von Webseiten Kommandozeilenbefehle kopieren, wenn sie selbst nicht mehr weiterwissen.

Keine Aktivierung durch Nutzer mehr erforderlich

Dass Browser auf die Zwischenablage zugreifen können, ist schon länger bekannt. Verschiedene Webseiten fügen von Nutzern kopierten Inhalten zum Beispiel eigene Informationen hinzu, etwa eine Beschreibung der Webseite oder die URL, von der der Inhalt kopiert wurde. Aktuelle Browser unterstützen die Funktion, auch Firefox-Nutzer müssen diese seit der Version 41 nicht mehr manuell über die user.js aktivieren. Die Funktion kann aber über about:preferences deaktiviert werden.

Für den Angriff nutzt Dxa4881 die "paste"-Funktion von Document.exec.Command(). Fügt ein Nutzer Inhalte in die Zwischenablage ein, wird im Hintergrund automatisch ein Script gestartet, das die Zwischenablage mit dem gewünschten Inhalt überschreibt. Als Beispiel wird bei Github die ursprüngliche Eingabe echo "not evil" in echo "evil"\n geändert. Durch den Newline-Parameter wird der Code nach dem Einfügen in die Kommandozeile automatisch ausgeführt. Der PoC wird auch auf einer eigenen Webseite dokumentiert.

Eingabe kann vertuscht werden

Im aktuellen Beispiel würde der Nutzer allerdings sofort mitbekommen, dass etwas nicht stimmt. Die Eingabe der Befehle könnte aber auch verdeckt werden, wenn der Befehl "clear" verwendet wird und am Ende die vom Nutzer eigentlich kopierte Eingabe angezeigt wird.

Als Beispiel für einen realen Angriff auf Linux-Nutzer zeigt Dxa4881, wie die unter /etc/passwd abgelegten Passwörter kopiert werden können, ohne dass Nutzer es mitbekommen. Dazu wird der Befehl "copyTextToClipboard('echo "evil"\n \x1b:!cat /etc/passwd\n');" in die Zwischenablage eingefügt.

In dem Post wird darauf hingewiesen, dass einige Terminal-Programme wie iTerm eine automatische Warnung ausgeben, wenn Inhalte eingefügt werden, die mit einem Newline-Kommando enden. Nutzer können dann manuell bestätigen, dass sie den Inhalt trotzdem ausführen können, oder das Kommando entfernen.

Der einfachste Schutz gegen diese Art von Angriffen ist aber natürlich ein deutlich einfacherer: Bevor die Kommandos in die Kommandozeile wandern, werden sie im Editor eingefügt und vom Nutzer selbst überprüft.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 2.533,48€ (Bestpreis mit Saturn - Vergleichspreis: 2.999€)
  2. 59,39€ (Digital Deluxe Edition) / 46,19€ (Standard Edition)
  3. (u. a. Asus Prime Z390-A Mainboard + Intel i5-9600K für 319,56€, MSI MPG Z490 Gaming Edge Wifi...
  4. (u. a. Lenovo Q27q 27 Zoll IPS WQHD FreeSync für 223,23€, Lenovo Legion 5 15,6 Zoll FHD IPS...

Vanger 25. Mai 2016

Hatte es nur mit Firefox 44.0.2 unter Debian Jessie getestet, auch nachdem ich es jetzt...

My1 25. Mai 2016

deswegen sage ich ja erst alles einlesen und das dann bestätigen. ich finde das mit dem...

zZz 25. Mai 2016

Das Problem ist bei Bindestrichen und Anführungszeichen, dass viele CMS aus einem...

zZz 25. Mai 2016

Nein, das ist ein Feature. Das im Artikel beschriebene Problem ist ja, dass etwas anderes...

My1 25. Mai 2016

ne. Javascript konnte man früher über inhalt ausmachen aber die spätestens seit 29 ist...


Folgen Sie uns
       


UX-Designer: Computer sind soziale Akteure
UX-Designer
"Computer sind soziale Akteure"

User Experience Designer schaffen positive Erlebnisse, wenn Nutzer IT-Produkte verwenden. Der Job erfordert Liebe zum Detail und den Blick fürs große Ganze.
Ein Porträt von Louisa Schmidt

  1. Coronapandemie Viele IT-Freelancer erwarten schlechtere Auftragslage
  2. IT-Fachkräftemangel Es müssen nicht immer Informatiker sein
  3. Jobporträt IT-Produktmanager Der Alleversteher

Coronavirus und Karaoke: Gesang mit Klang trotz Gesichtsvorhang
Coronavirus und Karaoke
Gesang mit Klang trotz Gesichtsvorhang

Karaokebars sind gefährliche Coronavirus-Infektionsherde. Damit den Menschen in Japan nicht ihr Hobby genommen wird, gibt es nun ein System, das auch mit Mundschutz gute Sounds produzieren soll.
Ein Bericht von Felix Lill

  1. Corona Gewerkschaft sieht Schulen schlecht digital ausgestattet
  2. Corona Telekom und SAP sollen europaweite Warn-Plattform bauen
  3. Universal Kinofilme kommen früher ins Netz

Norbert Röttgen: Kandidat für CDU-Vorsitz streut alternative Fakten zu 5G
Norbert Röttgen
Kandidat für CDU-Vorsitz streut alternative Fakten zu 5G

In der explosiven Situation zwischen den USA und China zündelt Norbert Röttgen, CDU-Politiker mit Aspirationen auf den Parteivorsitz und die Kanzlerschaft, mit unrichtigen Aussagen zu 5G und Huawei.
Eine Analyse von Achim Sawall

  1. Handelskrieg Australiens Regierung greift Huawei wegen Rechenzentrum an
  2. 5G Verbot von Huawei in Deutschland praktisch ausgeschlossen
  3. Smartphone Huawei gehen die SoCs aus

    •  /