Abo
  • Services:
Anzeige
Nein, hier geht es nicht um Google.
Nein, hier geht es nicht um Google. (Bild: Martin Wolf/Golem.de)

Pastejacking im Browser: Codeausführung per Copy and Paste

Nein, hier geht es nicht um Google.
Nein, hier geht es nicht um Google. (Bild: Martin Wolf/Golem.de)

Browser können den Inhalt der Zwischenablage selbstständig verändern. In einem Proof-of-Concept wird gezeigt, wie diese Funktion für Angriffe genutzt werden kann - und Nutzer sich recht einfach schützen können.

Der Github-Nutzer mit dem Pseudonym Dxa4481 hat einen Proof-of-Concept vorgestellt, mit dem er demonstrieren will, dass das Kopieren und Ausführen von Textpassagen von Webseiten gefährlich sein kann, wenn Nutzer den Inhalt in ihr Terminal einfügen und dort ausführen.

Anzeige

Denn moderne Browser können einen eigenen Zugriff auf die Zwischenablage erhalten und so andere Inhalte kopieren, als vom Nutzer intendiert. Angreifer könnten sich das zunutze machen, um Nutzern gefälschte Kommandos unterzuschieben. Ein denkbares Angriffsszenario wären Linux-Einsteiger, die sich von Webseiten Kommandozeilenbefehle kopieren, wenn sie selbst nicht mehr weiterwissen.

Keine Aktivierung durch Nutzer mehr erforderlich

Dass Browser auf die Zwischenablage zugreifen können, ist schon länger bekannt. Verschiedene Webseiten fügen von Nutzern kopierten Inhalten zum Beispiel eigene Informationen hinzu, etwa eine Beschreibung der Webseite oder die URL, von der der Inhalt kopiert wurde. Aktuelle Browser unterstützen die Funktion, auch Firefox-Nutzer müssen diese seit der Version 41 nicht mehr manuell über die user.js aktivieren. Die Funktion kann aber über about:preferences deaktiviert werden.

Für den Angriff nutzt Dxa4881 die "paste"-Funktion von Document.exec.Command(). Fügt ein Nutzer Inhalte in die Zwischenablage ein, wird im Hintergrund automatisch ein Script gestartet, das die Zwischenablage mit dem gewünschten Inhalt überschreibt. Als Beispiel wird bei Github die ursprüngliche Eingabe echo "not evil" in echo "evil"\n geändert. Durch den Newline-Parameter wird der Code nach dem Einfügen in die Kommandozeile automatisch ausgeführt. Der PoC wird auch auf einer eigenen Webseite dokumentiert.

Eingabe kann vertuscht werden

Im aktuellen Beispiel würde der Nutzer allerdings sofort mitbekommen, dass etwas nicht stimmt. Die Eingabe der Befehle könnte aber auch verdeckt werden, wenn der Befehl "clear" verwendet wird und am Ende die vom Nutzer eigentlich kopierte Eingabe angezeigt wird.

Als Beispiel für einen realen Angriff auf Linux-Nutzer zeigt Dxa4881, wie die unter /etc/passwd abgelegten Passwörter kopiert werden können, ohne dass Nutzer es mitbekommen. Dazu wird der Befehl "copyTextToClipboard('echo "evil"\n \x1b:!cat /etc/passwd\n');" in die Zwischenablage eingefügt.

In dem Post wird darauf hingewiesen, dass einige Terminal-Programme wie iTerm eine automatische Warnung ausgeben, wenn Inhalte eingefügt werden, die mit einem Newline-Kommando enden. Nutzer können dann manuell bestätigen, dass sie den Inhalt trotzdem ausführen können, oder das Kommando entfernen.

Der einfachste Schutz gegen diese Art von Angriffen ist aber natürlich ein deutlich einfacherer: Bevor die Kommandos in die Kommandozeile wandern, werden sie im Editor eingefügt und vom Nutzer selbst überprüft.


eye home zur Startseite
Vanger 25. Mai 2016

Hatte es nur mit Firefox 44.0.2 unter Debian Jessie getestet, auch nachdem ich es jetzt...

My1 25. Mai 2016

deswegen sage ich ja erst alles einlesen und das dann bestätigen. ich finde das mit dem...

zZz 25. Mai 2016

Das Problem ist bei Bindestrichen und Anführungszeichen, dass viele CMS aus einem...

zZz 25. Mai 2016

Nein, das ist ein Feature. Das im Artikel beschriebene Problem ist ja, dass etwas anderes...

My1 25. Mai 2016

ne. Javascript konnte man früher über inhalt ausmachen aber die spätestens seit 29 ist...



Anzeige

Stellenmarkt
  1. Daimler AG, Stuttgart
  2. Sky Deutschland Fernsehen GmbH & Co. KG, Unterföhring bei München
  3. Sky Deutschland GmbH, Unterföhring bei München
  4. ING-DiBa AG, Nürnberg


Anzeige
Spiele-Angebote
  1. 12,99€
  2. 16,99€

Folgen Sie uns
       


  1. Datenbank

    Microsofts privater Bugtracker ist 2013 gehackt worden

  2. Windows 10

    Fall Creators Update wird von Microsoft offiziell verteilt

  3. Robert Bigelow

    Aufblasbare Raumstation um den Mond soll 2022 starten

  4. Axon M

    ZTE stellt Smartphone mit zwei klappbaren Displays vor

  5. Fortnite Battle Royale

    Epic Games verklagt Cheater auf 150.000 US-Dollar

  6. Microsoft

    Das Surface Book 2 kommt in zwei Größen

  7. Tichome Mini im Hands On

    Google-Home-Konkurrenz startet für 82 Euro

  8. Düsseldorf

    Telekom greift Glasfaserausbau von Vodafone an

  9. Microsoft

    Neue Firmware für Xbox One bietet mehr Übersicht

  10. Infrastrukturabgabe

    Kleinere deutsche Kabelnetzbetreiber wollen Geld von Netflix



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Dokumentarfilm Pre-Crime: Wenn Computer Verbrechen vorhersagen
Dokumentarfilm Pre-Crime
Wenn Computer Verbrechen vorhersagen

Programmiersprache für Android: Kotlin ist auch nur eine Insel
Programmiersprache für Android
Kotlin ist auch nur eine Insel
  1. Programmiersprache Fetlang liest sich "wie schlechte Erotikliteratur"
  2. CMS Drupal 8.4 stabilisiert Module
  3. Vespa Yahoos Big-Data-Engine wird Open-Source-Projekt

Core i7-8700K und Core i5-8400 im Test: Ein Sechser von Intel
Core i7-8700K und Core i5-8400 im Test
Ein Sechser von Intel
  1. Core i7-8700K Ultra Edition Overclocking-CPU mit Silber-IHS und Flüssigmetall
  2. Intel Coffee Lake Von Boost-Betteln und Turbo-Tricks
  3. Coffee Lake Intel verkauft sechs Kerne für unter 200 Euro

  1. Re: Präzedenzfall überfällig

    HorkheimerAnders | 02:17

  2. Re: Wenn ich das jetzt recht verstanden habe...

    ve2000 | 02:01

  3. Fehlendes Alleinstellungsmerkmal kann positiv...

    Dadie | 01:49

  4. Re: Was ist wenn meine Webseite Https erzwingt?

    ve2000 | 01:49

  5. Re: Preis - Fehler?

    Slurpee | 01:42


  1. 21:08

  2. 19:00

  3. 18:32

  4. 17:48

  5. 17:30

  6. 17:15

  7. 17:00

  8. 16:37


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel