El portapapeles de windows una amenaza a nuestra privacidad
Internet Explorer permite capturar los datos del portapapeles desde una página web. Aunque el uso malicioso de esta caracterÃstica ya fue denunciado a finales del 2002, aun hoy dÃa la configuración de la mayorÃa de sistemas con Internet Explorer permiten de forma transparente esta función.
El objeto clipboardData es el responsable de esta funcionalidad, y fue incorporada en la versión 5 de Internet Explorer. Básicamente admite tres métodos para interactuar con los datos del portapapeles, "getData" para capturar la información, "setData" escribe datos, y "clearData" para borrar el portapapeles.
Aunque evidentemente tiene usos prácticos, lo cierto es que también puede ser utilizada de forma maliciosa. De hecho resultarÃa muy simple diseñar una web que intentara capturar los datos del portapapeles de todos los visitantes.
Sobre si ello puede suponer un problema de seguridad, ya depende exclusivamente del grado de sensibilidad de la información que cada usuario suele copiar en el portapapeles en el dÃa a dÃa. Algunos ejemplos cotidianos son datos de hojas de cálculo, párrafos del procesador de textos, una conversación por mensajerÃa instantánea que querÃamos almacenar, o incluso una contraseña que hemos copiado para pegar en un formulario de autenticación.
Si el usuario cree que los datos que suele copiar al portapapeles son sensibles, puede modificar la configuración de Internet Explorer para que le avise, o directamente rechace, cualquier intento de captura por parte de una página web.
Otros navegadores no contemplan esta funcionalidad, y por tanto sus usuarios no requieren en esta ocasión ninguna configuración adicional para evitar un potencial uso malicioso de esta técnica.
En Wilkinsonpc nos hemos puesto a la tarea de investigar los diferentes metodos que existen para manipular el contenido del portapapales de Windows, y como resultado ponemos a tu disposicion las siguientes pruebas de concepto:
Leyendo ó accediendo a nuestro portapapeles de Windows desde una página web
Si tu portapales es vulnerable a un acceso publico, y si tienes algo en él, en el siguiente campo aparecerá su contenido:
Si en el campo de texto aparece
null, es porque el portapapeles está vacÃo.
Si en el campo de texto aparece
undefined, es porque ya has configurado al Internet Explorer para que no permita operaciones de pegado por medio de una secuencia de comandos
Tambien se puede mostrar el contenido de tu portapapeles a travez de una ventana emergente:
Pincha aquà para ver si aparecen los datos del portapapeles
Agregando texto a nuestro portapapeles de Windows desde una página web
Con el uso de código de programacion en una página web no solo es posible acceder (copiar) el contenido del portapapeles, tambien es posible incluso agregar (pegar) contenido a éste.
Para agregar un contenido desde esta pagina web a tu portapapeles, basta con que des click en el siguiente enlace:
Pegar contenido a mi portapapeles
NO PASA NADA? no te preocupes, aunque parezca que no ha ocurrido nada, silenciosamente hemos agregado un texto a tu portapapeles.
En estos momentos, si usas el comando pegar (CTRL+V) en algun lado (por ejemplo: Bloc de notas, en Word, o en cualquier programa) ó si vuelves a cargar ésta página notarás que hemos agregado al portapapeles la cadena de texto:
"
HOLA, SOY UN TEXTO NO INVITADO, ME HAN PEGADO DESDE WILKINSONPC COMO PRUEBA DE CONCEPTO, TU PORTAPAPELES ES VULNERABLE.
Para obtener mas información ve a esta direccion:
http://www.wilkinsonpc.com.co/free/articulos/portapapeles-de-windows.html"
Borrando el contenido del portapapeles desde una página web
Con el siguiente comando escrito en una página web a modo de script, es posible borrar el contenido del portapapeles:
javascript: window.clipboardData.clearData();
Pincha aquà para borrar el portapapeles
Como proteger el contenido del portapapeles de una página web?
Para evitar que una pagina web acceda al contenido de lo que tengas en el portapapeles de windows, deberas hacer lo siguiente:
INTERNET EXPLORER
- Ve al menú "Herramientas" -> "Opciones de Internet"
- Ahora click en la pestaña "Seguridad" -> click en el boton "Nivel personalizado"
- Busca debajo de "Automatización" -> en la opcion "Permitir operaciones de pegado por medio de una secuencia de comandos"
- Selecciona "Pedir datos" (si quieres que Internet Explorer te avise si alguna web intenta capturar los datos del portapapeles)
o "Desactivar" (para rechazarlo siempre).
Aunque parezca algo poco significativo, en ocasiones podrÃamos sorprendernos de lo que cualquiera puede llegar a copiar en el portapales, desde el número de cuenta o tarjeta de crédito, hasta las contraseñas. De hecho, muchos gestores de contraseñas permiten copiar las contraseñas en el portapapeles para no tener que escribirlas, especialmente para aquellos casos en los que se utilizan contraseñas robustas difÃciles de memorizar y escribir.
Asi que ya estas alertado, desactiva esa opcion para evitar que información crÃtica salga de tus manos.
Fuente: Wilkinsonpc, Hispasec