Sicherheitslücke: Zwischenablage in Chromium-basierten Browsern frei zugreifbar
Webseiten können derzeit in aktuellen Chromium-basierten Webbrowsern beliebig auf die Zwischenablage zugreifen. Das ermöglicht etwa Angriffe auf Nutzer.
(Bild: Wachiwit/Shutterstock.com)
Chromium-basierte Webbrowser wie Microsofts Edge oder Googles Chrome ermöglichen es Webseiten in ihrer aktuellen Version, ohne Nutzerinteraktion auf die System-Zwischenablage zuzugreifen. Dadurch können Webseiten eigene Daten in die Zwischenablage schieben, die unachtsame Nutzerinnen und Nutzer später beispielsweise in Formulare kopieren. Zum Risiko wird das etwa dann, wenn es um Kryptowährungs-Transaktionen oder ähnliche Daten geht.
Ursache ist eine deaktivierte, sonst nötige Nutzerinteraktion: Ein Microsoft-Mitarbeiter stieß auf das Problem, dass ein Test beim Öffnen eines neuen Tabs in der Funktion NewTabPageDoodleShareDialogFocusTest.All fehlschlug. Ohne eine notwendige vorherige Nutzeraktion wie das Drücken der Tastenkombination Strg + C für den Zugriff auf die Zwischenablage funktionierte aber alles wie gewünscht. Kurzerhand musste die mandatorische Nutzeranforderung dem funktionierenden Test weichen.
Zwischenablage zugreifbar als Frickel-Workaround
In der Bug-Meldung dazu erläutert der Entwickler immerhin, dass das keine gute Lösung und eine Überarbeitung nötig sei: "Wir deaktivieren vorerst die Nutzerinteraktions-Anforderung für read/writeText, aber wir sollten das überdenken." Ein bis jetzt andauernder Zwist hat sich im Bugtracker entsponnen, wie wichtig der Fix für dieses unerwartete und sicherheitskritische Verhalten ist. Immerhin haben die Entwickler eine gewisse Dringlichkeit erkannt.
Andere Webbrowser wie Safari oder Firefox erzwingen hingegen eine vorhergehende Nutzeraktion für den Zugriff auf die Zwischenablage. Nachdem das derzeitige Fehlverhalten der Chromium-basierten Webbrowser bezüglich der Zwischenablage jetzt bekannt ist, dürfte ein Fix nicht allzu lange auf sich warten lassen.
Bis jedoch die Webbrowser wie Chrome oder Edge diesbezüglich abgesichert wurden, sollten Nutzer vor dem Einfügen von kopierten Inhalten in Formulare oder Dokumente genau prüfen, ob es sich wirklich um die korrekten Daten handelt. Kopiert eine besuchte Webseite eine falsche Wallet-Nummer oder Bitcoin-Adresse in die Zwischenablage, könnte sonst etwa Kryptogeld unwiederbringlich an den falschen Empfänger fließen – so etwas hat etwa die Malware Evrial durch Beobachtung und Manipulation der Zwischenablage angestellt.
(dmk)
