Con il rilascio di Chrome 104 è stato introdotto un bug tutt’altro che di poco conto che consente ai siti Web di accedere alla clipboard del dispositivo usato. La problematica, che potrebbe permettere a un malintenzionato di sostituire il testo copiato senza che l’utente se ne accorga, non è stata ancora corretta e infatti continua a essere presente anche nella relase 105 del browser.
Chrome: i siti possono accedere al contenuto della clipboard
Andando più in dettaglio, a partire dalla versione 104 di Chrome e su altri browser basati su Chromium (ad eccezione di Brave), il testo nella clipboard viene copiato senza gesture, per cui basta visitare un sito per sovrascrivere quello presente in precedenza. Altri browser, come nel caso di Firefox e Safari, invece, richiedono una gesture per fare in modo che ciò accada.
Per verificare il fatto che il bug è attivo basta visitare il sito Web Platform News e usare la gesture CTRL+V in un documento. Dopo aver incollato il contenuto della clipboard, verrà mostrato il seguente testo nel documento.
Hello, this message is in your clipboard because you visited the website Web Platform News in a browser that allows websites to write to the clipboard without the user’s permission. Sorry for the inconvenience. For more information about this issue, see https://github.com/w3c/clipboard-apis/issues/182.
Da tenere presente che il bug non può essere corretto con facilità, in quanto va a causare problemi ad altre funzioni. Date le circostanze, gli utilizzatori di Chrome sono tenuti a prestare la massima attenzione al testo che viene incollato nelle pagine Web. L’impiego di un buon antivirus, come nel caso di Avast Premium Security, può permettere di evitare che la falla possa essere sfruttata da cybercriminali per compromettere il sistema.