Un problema di sicurezza “importante” nel browser Web Google Chrome, così come le alternative basate su Chromium, potrebbero consentire alle pagine Web dannose di sovrascrivere automaticamente il contenuto degli appunti senza richiedere il consenso o l’interazione dell’utente semplicemente visitandole.
Ebbene sì, ancora una volta il browser dell’azienda californiana è di nuovo protagonista di un problemino: questa volta però non riguarda estensioni malevole.
Quali problemi causa, dunque, questo bug di Google Chrome al sistema operativo?
Sembra che l’attacco “diretto” agli appunti sia stato introdotto accidentalmente nella versione 104 di Chrome, secondo lo sviluppatore Jeff Johnson.
Sebbene il problema esista anche in Apple Safari e Mozilla Firefox, ciò che rende il problema grave in Chrome è che il requisito per un gesto dell’utente per copiare il contenuto negli appunti è in un certo senso “guasto”, rendendo impossibile fare una serie di “copia-incolla” diversi (tipo lo strumento cattura di Windows per capirci).
Come appena detto, le azioni che deve fare l’utente non sono che il classico “copia-incolla”: ciò include la selezione di una parte di testo e la pressione di Control+C (o ⌘-C per macOS) o la selezione di “Copia” dal menu di scelta rapida.
“Pertanto, un gesto innocente come fare clic su un collegamento o premere il tasto freccia per scorrere verso il basso la pagina autorizza il sito Web a sovrascrivere gli appunti di sistema“, fa notare Johnson.
La possibilità di sostituire i dati degli appunti comporta pericoli per la sicurezza a livello di sicurezza informatica.
In un ipotetico scenario di attacco, un hacker malintenzionato potrebbe attirare una vittima a visitare una pagina di destinazione che riscrive l’indirizzo di un portafoglio di criptovalute precedentemente copiato (con tasto destro del mouse o con CTRL+C) dal malcapitato, con conseguente trasferimento di fondi non autorizzato.
In alternativa, gli autori delle minacce informatiche potrebbero sovrascrivere gli appunti con un collegamento a siti Web appositamente predisposti, portando le vittime a scaricare software pericoloso, o magari portare su una pagina di “fake login“.
“Mentre stai navigando in una pagina web, la pagina può, a tua insaputa, cancellare i contenuti attuali degli appunti di sistema, che potrebbero essere utili per te, e sostituirli con qualsiasi cosa desideri la pagina [o per meglio dire chi la gestisce ndr], il che potrebbe essere pericoloso per te la prossima volta che fai ‘incolla’“, ha spiegato Johnson.
Google ne è già a conoscenza di questo problema di Google Chrome e a breve dovrebbe essere rilasciata una patch, vista la gravità della falla e l’alta probabilità di abusi da parte di malintenzionati.
Come difendersi quindi da questo bug di Google Chrome?
Nel frattempo, si consiglia agli utenti di astenersi dall’aprire pagine Web tra un’azione taglia/copia e incolla e di verificare i propri appunti prima di eseguire operazioni sensibili sul Web, come le transazioni finanziarie (perlomeno e soprattutto tra gli utilizzatori di criptovalute, come detto sopra).
Se vuoi essere sicuro che che quando fai “incolla” il link sia giusto, invece di incollarlo ad esempio sul blocco note di Windows (e sugli equivalenti Mac e Linux), anche se qualsiasi programma di testo (sia Microsoft Office che LibreOffice e compagnia bella) va benissimo.
Niente panico: stanno arrivando patch rilasciate da Google con una nuova versione di Chrome (105.0.5195.52/53/54) per Windows, macOS e Linux con correzioni per 24 righe di codice, 10 delle quali relative a bug use-after-free in Network Service, WebSQL, WebSQL, PhoneHub, e altri ancora più o meno noti.
Qui c’entra il software: non il sistema operativo
Prima che qualcuno dica “ma io non uso Winzozz” o “io uso il Mac tanto” non è un problema di sistema operativo, bensì una cosa insita in Google Chrome, nel software, che per fortuna è in via di risoluzione.
Lascio un video che mostra come appare questo bug.
