Chrome 104权限设置bug让网站无需询问即可写入内容到剪贴板

据悉，剪贴板是操作系统上的一个临时存储空间。但由于常用于复制 / 粘贴的中转站，剪贴板很可能涉及银行账号、加密货币钱包字符串、以及密码等敏感信息。

当用户选择从网页上复制一段文本时，某些网站可能会加上额外的内容 —— 比如当前页面的网址（URL）—— 而没有任何可见的指示或交互。

若被任意内容覆盖这个临时存储空间，用户将面临较高的风险，导致其成为潜在恶意活动的受害者。

Jeff Johnson 在博客文章中强调 —— 所有支持剪贴板写入的 Web 浏览器，都具有较差且不充分的防护措施。

举个例子，攻击者可能引诱用户访问冒充合法加密货币服务的特制网站。当用户尝试付款、并将钱包地址复制到剪贴板时，该 bug 或导致相关信息被篡改。

虽然许多剪贴板 API 交互都是通过 Ctrl+C 这样的快捷键实现的，但在许多情况下，网站交互可以做到更加神不知鬼不觉。

Johnson 在 Safari 和 Firefox 上的测试表明，即使按了向下 ↓ 箭头、或使用鼠标滚轮在网站上导航，都可被授予当前加载页面的剪贴板写入权限。

要确定该问题是否影响您的 Web 浏览器，可移步至 webplatform.news 示例站点，看相关操作是否会将内容注入到用户系统的剪贴板里、然后尝试将内容‘粘贴’到 Windows 记事本。

目前 Chrome 开发团队已经意识到了这个问题，但尚未立即修复。庆幸的是，它对当前版本的移动 / 桌面版 Chrome 浏览器的影响并不大。