TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Dylan Ayrey พบการโจมตีใหม่บนเว็บเบราเซอร์ผ่าน HTML/CSS ช่วยให้แฮ็คเกอร์หรือผู้ไม่ประสงค์ดีสามารถเปลี่ยนข้อความบน Clipboard หรือก็คือข้อความที่ผู้ใช้กด Crtl+C เพื่อคัดลอกไว้ เพื่อให้เปลี่ยนไปเป็นข้อความที่ตนเองต้องการได้ เรียกการโจมตีนี้ว่า Pastejack Attack
การแก้ไขข้อความใน Clipboard อาจฟังดูไม่อันตรายเท่าไหร่ แต่แฮ็คเกอร์อาจใช้วิธีปลอมอีเมล Phishing หลอกผู้ใช้ว่าส่งมาจากทาง Tech Support ให้ Copy-Paste ข้อความบนอีเมลไปแปะไว้บน Terminal แล้วสั่งรัน ซึ่งส่วนมากแล้วผู้ใช้มักจะไม่สังเกตว่าคำสั่งที่คัดลอกมาเปลี่ยนแปลงไปเมื่อแปะลงบนหน้าจอ ส่งผลให้เกิดการโจมตีแบบ Arbitrary Code Execution
Ayrey ได้แสดงการทำ POC การโจมตีแบบ Pastejack Attack โดยให้ลอง Copy คำสั่ง ‘echo “not evil”‘ ลงบน Terminal แต่ผลลัพธ์ที่ได้กลับกลายเป็น ‘echo “evil”\n‘ แทน ซึ่งจะเห็นว่า คำสั่งที่ถูกแปะลงไปบนหน้า Terminal จะมีการเพิ่ม “\n” ซึ่งเป็นการขึ้นบรรทัดใหม่ นั่นหมายความว่าคำสั่งดังกล่าวจะถูกรันทันทีโดยที่ผู้ใช้ไม่มีสิทธิ์รีวิวได้เลย
ตัวอย่างทดสอบการโจมตี 1: https://security.love/Pastejacking/
ตัวอย่างทดสอบการโจมตี 2: https://security.love/Pastejacking/index3.html
นอกจากนี้ การโจมตี Pastejack Attack ยังส่งผลกระทบต่อ Vim ด้วยเช่นกัน
