ペーストジャッキング

この攻撃は Paste Hijacking と呼ばれ、その概念実証攻撃の原理は古い CSS 脆弱性エクスプロイトと一致していますが、若干異なります。

Ayrey 氏は、その違いは、イベント後にテキストをコピーできることと、イベント後のショートタイマーでもコピーできること、そして 16 進数の文字をクリップボードにコピーするのが簡単で、開発に使用できることであると説明しました。ヴィム。

彼はまた、 Java ではそのような攻撃を特定するのが難しく、阻止するのが難しいとも述べました。

CSS と比較して、Java はより強力で多用途であり、この種の攻撃は明確に反映されます。 CSS では、ユーザーは悪意のあるテキスト全体をコピーして貼り付ける必要がありますが、Java はより欺瞞的です。

ユーザーは悪意のあるテキスト全体を選択する必要さえなく、1 文字で十分です。理論的には、攻撃者は悪意のあるペーストハイジャッキング Java コードをページ全体に追加する可能性があり、ユーザーがコンソールに何かをペーストすると、背後に潜んで密かにコマンドを実行する可能性があります。

Ayrey はデモビデオまで提供し、攻撃者が悪意のあるコードを実行し、コンソールをクリアしてユーザーがコピーしたコードを追加するプロセスを示し、一般のネチズンに何も異常なことはないと思わせました。

テクニカル サポート ページまたはフィッシング メールに関連する場合、この攻撃は非常に深刻な結果をもたらす可能性があります。ユーザーは通常のテキストをコンソールにコピーしていると思っているかもしれませんが、実際には悪意のある攻撃者の餌食になっています。

ターミナルコマンドは自動的に実行されるため、ユーザーは悪意のあるコードを実行するために Enter キーを押す必要さえなく、CTRL+V で十分です。