Internet Explorer permite capturar los datos del portapapeles desde
una página web. Aunque el uso malicioso de esta característica ya
fue denunciado a finales del 2002, aun hoy día la configuración de
la mayoría de sistemas con Internet Explorer permiten de forma
transparente esta función.
Una prueba de concepto para comprobar si nuestro navegador permite
la captura de datos del portapales se encuentra en la siguiente
dirección: http://blog.hispasec.com/laboratorio/29
El objeto clipboardData es el responsable de esta funcionalidad, y
fue incorporada en la versión 5 de Internet Explorer. Básicamente
admite tres métodos para interactuar con los datos del portapapeles,
«getData» para capturar la información, «setData» escribe datos, y
«clearData» para borrar el portapapeles.
Aunque evidentemente tiene usos prácticos, lo cierto es que también
puede ser utilizada de forma maliciosa. De hecho resultaría muy
simple diseñar una web que intentara capturar los datos del
portapapeles de todos los visitantes.
Sobre si ello puede suponer un problema de seguridad, ya depende
exclusivamente del grado de sensibilidad de la información que cada
usuario suele copiar en el portapapeles en el día a día. Algunos
ejemplos cotidianos son datos de hojas de cálculo, párrafos del
procesador de textos, una conversación por mensajería instantánea
que queríamos almacenar, o incluso una contraseña que hemos copiado
para pegar en un formulario de autenticación.
Si el usuario cree que los datos que suele copiar al portapapeles
son sensibles, puede modificar la configuración de Internet Explorer
para que le avise, o directamente rechace, cualquier intento de
captura por parte de una página web.
En el menú «Herramientas» de Internet Explorer, escoger «Opciones
de Internet…», seleccionar la pestaña «Seguridad», pinchar en
el botón «Nivel personalizado…», buscamos el apartado
«Automatización» y «Permitir operaciones de pegado por medio de
una secuencia de comandos». Ahí seleccionaremos «Pedir datos»,
para que Internet Explorer nos avise y nos de la opción de si
queremos o no permitir la acción, o «Desactivar» si queremos que
siempre evite la operación.
Otros navegadores no contemplan esta funcionalidad, y por tanto
sus usuarios no requieren en esta ocasión ninguna configuración
adicional para evitar un potencial uso malicioso de esta técnica.
bernardo@hispasec.com
Más información:
Prueba de concepto
http://blog.hispasec.com/laboratorio/29
Vulnerable cached objects in IE (9 advisories in 1).
http://www.greymagic.com/security/advisories/gm012-ie/
Vulnerability Note VU#162097
http://www.kb.cert.org/vuls/id/162097
Deja una respuesta