Abo
  • Services:
Anzeige
Nein, hier geht es nicht um Google.
Nein, hier geht es nicht um Google. (Bild: Martin Wolf/Golem.de)

Pastejacking im Browser: Codeausführung per Copy and Paste

Nein, hier geht es nicht um Google.
Nein, hier geht es nicht um Google. (Bild: Martin Wolf/Golem.de)

Browser können den Inhalt der Zwischenablage selbstständig verändern. In einem Proof-of-Concept wird gezeigt, wie diese Funktion für Angriffe genutzt werden kann - und Nutzer sich recht einfach schützen können.

Der Github-Nutzer mit dem Pseudonym Dxa4481 hat einen Proof-of-Concept vorgestellt, mit dem er demonstrieren will, dass das Kopieren und Ausführen von Textpassagen von Webseiten gefährlich sein kann, wenn Nutzer den Inhalt in ihr Terminal einfügen und dort ausführen.

Anzeige

Denn moderne Browser können einen eigenen Zugriff auf die Zwischenablage erhalten und so andere Inhalte kopieren, als vom Nutzer intendiert. Angreifer könnten sich das zunutze machen, um Nutzern gefälschte Kommandos unterzuschieben. Ein denkbares Angriffsszenario wären Linux-Einsteiger, die sich von Webseiten Kommandozeilenbefehle kopieren, wenn sie selbst nicht mehr weiterwissen.

Keine Aktivierung durch Nutzer mehr erforderlich

Dass Browser auf die Zwischenablage zugreifen können, ist schon länger bekannt. Verschiedene Webseiten fügen von Nutzern kopierten Inhalten zum Beispiel eigene Informationen hinzu, etwa eine Beschreibung der Webseite oder die URL, von der der Inhalt kopiert wurde. Aktuelle Browser unterstützen die Funktion, auch Firefox-Nutzer müssen diese seit der Version 41 nicht mehr manuell über die user.js aktivieren. Die Funktion kann aber über about:preferences deaktiviert werden.

Für den Angriff nutzt Dxa4881 die "paste"-Funktion von Document.exec.Command(). Fügt ein Nutzer Inhalte in die Zwischenablage ein, wird im Hintergrund automatisch ein Script gestartet, das die Zwischenablage mit dem gewünschten Inhalt überschreibt. Als Beispiel wird bei Github die ursprüngliche Eingabe echo "not evil" in echo "evil"\n geändert. Durch den Newline-Parameter wird der Code nach dem Einfügen in die Kommandozeile automatisch ausgeführt. Der PoC wird auch auf einer eigenen Webseite dokumentiert.

Eingabe kann vertuscht werden

Im aktuellen Beispiel würde der Nutzer allerdings sofort mitbekommen, dass etwas nicht stimmt. Die Eingabe der Befehle könnte aber auch verdeckt werden, wenn der Befehl "clear" verwendet wird und am Ende die vom Nutzer eigentlich kopierte Eingabe angezeigt wird.

Als Beispiel für einen realen Angriff auf Linux-Nutzer zeigt Dxa4881, wie die unter /etc/passwd abgelegten Passwörter kopiert werden können, ohne dass Nutzer es mitbekommen. Dazu wird der Befehl "copyTextToClipboard('echo "evil"\n \x1b:!cat /etc/passwd\n');" in die Zwischenablage eingefügt.

In dem Post wird darauf hingewiesen, dass einige Terminal-Programme wie iTerm eine automatische Warnung ausgeben, wenn Inhalte eingefügt werden, die mit einem Newline-Kommando enden. Nutzer können dann manuell bestätigen, dass sie den Inhalt trotzdem ausführen können, oder das Kommando entfernen.

Der einfachste Schutz gegen diese Art von Angriffen ist aber natürlich ein deutlich einfacherer: Bevor die Kommandos in die Kommandozeile wandern, werden sie im Editor eingefügt und vom Nutzer selbst überprüft.


eye home zur Startseite
Vanger 25. Mai 2016

Hatte es nur mit Firefox 44.0.2 unter Debian Jessie getestet, auch nachdem ich es jetzt...

My1 25. Mai 2016

deswegen sage ich ja erst alles einlesen und das dann bestätigen. ich finde das mit dem...

zZz 25. Mai 2016

Das Problem ist bei Bindestrichen und Anführungszeichen, dass viele CMS aus einem...

zZz 25. Mai 2016

Nein, das ist ein Feature. Das im Artikel beschriebene Problem ist ja, dass etwas anderes...

My1 25. Mai 2016

ne. Javascript konnte man früher über inhalt ausmachen aber die spätestens seit 29 ist...



Anzeige

Stellenmarkt
  1. SICK AG, Waldkirch-Buchholz
  2. vwd GmbH, Frankfurt
  3. Versicherungskammer Bayern, München
  4. GERMANIA Fluggesellschaft mbH, Berlin


Anzeige
Spiele-Angebote
  1. 27,99€
  2. + Prämie (u. a. Far Cry 5, Elex, Assassins Creed Origins) für 62€
  3. 13,99€

Folgen Sie uns
       


  1. Private Division

    Rockstar-Games-Firma gründet Ableger für AAA-Indiegames

  2. Klage erfolgreich

    BND darf deutsche Metadaten nicht beliebig sammeln

  3. Neuer Bericht

    US-Behörden sollen kommerzielle Cloud-Dienste nutzen

  4. Übernahme

    Walt Disney kauft Teile von 21st Century Fox

  5. Deep Learning

    Googles Cloud-TPU-Cluster nutzen 4 TByte HBM-Speicher

  6. Leistungsschutzrecht

    EU-Staaten uneins bei Urheberrechtsreform

  7. E-Ticket Deutschland bei der BVG

    Bewegungspunkt am Straßenstrich

  8. Star Wars

    The-Last-Jedi-Update für Battlefront 2 veröffentlicht

  9. Airport mit 802.11n und neuere

    Apple sichert seine WLAN-Router gegen Krack-Angriff ab

  10. Bell UH-1

    Aurora Flight Sciences macht einen Hubschrauber zur Drohne



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Kingdom Come Deliverance angespielt: Und täglich grüßt das Mittelalter
Kingdom Come Deliverance angespielt
Und täglich grüßt das Mittelalter

E-Golf auf Tour: Reichweitenangst oder: Wie wir lernten, Lidl zu lieben
E-Golf auf Tour
Reichweitenangst oder: Wie wir lernten, Lidl zu lieben
  1. Sattelschlepper Thor ET-One soll Teslas Elektro-Lkw Konkurrenz machen
  2. Einkaufen und Laden Kostenlose Elektroauto-Ladesäulen mit 50 kW bei Kaufland
  3. Uniti One Schwedisches Unternehmen Uniti stellt erstes Elektroauto vor

Alexa-Geräte und ihre Konkurrenz im Test: Der perfekte smarte Lautsprecher ist nicht dabei
Alexa-Geräte und ihre Konkurrenz im Test
Der perfekte smarte Lautsprecher ist nicht dabei
  1. Alexa und Co. Wirtschaftsverband sieht Megatrend zu smarten Lautsprechern
  2. Smarte Lautsprecher Google unterstützt indirekt Bau von Alexa-Geräten
  3. UE Blast und Megablast Alexa-Lautsprecher sind wasserfest und haben einen Akku

  1. Und wieder kein Dual 4K Display-Support...

    TheUrbanNinja | 19:59

  2. Re: Dann steht Manhunt 3 nichts mehr im Wege

    quineloe | 19:52

  3. Re: Golem Was soll das? Überschrift geht ja garnicht

    david_rieger | 19:49

  4. Re: Nicht gefunden - Werbeblocker ausschalten.

    RaphaeI | 19:48

  5. Re: Solche Produkte...

    demon driver | 19:47


  1. 16:10

  2. 15:30

  3. 15:19

  4. 14:50

  5. 14:44

  6. 14:43

  7. 14:05

  8. 12:55


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel