今天上午在群里看到有人发了一则聊天记录:
也许你看的一头雾水,读取剪贴板?什么意思,怎么就有风险了。
这里先给大家讲个小故事,把时间线拉到4年前,那时候支付宝搞了一个活动叫口令红包,每天你可以扫别人的红包码或者复制别人的红包口令,然后你会获得一个红包,当你使用支付宝支付时,就可以抵扣对应红包金额,同时被你扫了红包码或者口令的人也可以获得对应的红包金额奖励。
那这个东西和今天我要讲的剪贴板有什么关系呢?
我们再来梳理一下流程逻辑,B将他的口令发给了A,A复制了B的口令,再打开支付宝,这时候支付宝会自动读取识别到A复制了B的口令,于是弹窗提示A恭喜你获得红包2元,当A消费的时候自动抵扣2元,B也自动会多出来2元的红包。
流程明白了,你也许会隐约感觉这里面好像有薅羊毛的机会,是的,博主我当时也加入了薅羊毛大军。
我当时开发了几个有数十万用户的微信小程序,我在小程序里加了一段代码,当用户打开后自动复制了我的口令,每天都会有数千上万人复制我的口令,我需要做的就是等着这些人打开了我的小程序后,碰巧再打开支付宝,然后领取我的红包。
那段时间每天可以入账数千元,对于那时候还是一个穷学生的我,这笔钱对我来说已经可以把生活过的很滋润了。
这是不道德的吗?不是的,因为是双赢,我没有窃取用户的任何资产,用户领了我的红包他可以抵扣,我也可以获得红包。
说到这里你现在应该意识到了,第三方的应用不论是网站、app都是有权限去获取到你的剪贴板,即当你复制了某一段话的时候,它们是可以在你不知情的情况下犹如幽灵一般偷走了你复制的内容。
因为获取复制剪贴板的接口是标准通用接口,我们平时在生活工作中也享受到了该接口的便利,如我常用的即刻,当我复制了我新发布在公众号的文章后,即刻会自动识别,我点击该弹窗后就可以自动的将文章链接粘贴进去,很方便。
但是如果将其用来做恶,我们想象一个操作路径,假设当你遇到在某个不论正规与否的网站输入私钥时,你直接复制粘贴将其填入,这时候私钥就会留存在你的剪贴板中。
然后你这时候打开了某个恶意应用并用公钥登录,这个应用会不断的去读取你的剪贴板,因为它已经获得了你的公钥,然后就碰运气使用撞库攻击,不断的尝试将获取到剪贴板的内容进行登录,一定会存在概率恰好剪贴板的内容就是你的私钥,从而在你神不知鬼不觉的情况下偷走了你的资产。
那么我们如何预防这种情况呢?
首先就是尽量不要把你的私钥存储在触网的地方,并且不要通过复制粘贴的形式填写私钥。
其次假设你真的忘了我的忠告,复制了你的私钥,这时候停下你手中对电脑和手机的所有其他操作,立刻复制大段大段的其他内容将你之前复制的私钥冲掉。
web3黑暗森林系列我已经发过多篇文章,骗术没有高不高级,只要管用就能骗到你的钱,钓鱼网站、木马病毒、剪贴板挟持等等,只要用户量级足够大,一定就会有概率会出现中招的人,警惕点,下一个人可能就是你。
如果看完有用老板们打赏顿猪脚饭,上次给大家做域名实验的0.1ETH还没回本呢。0x1E2410217C2071046194372Edfd12540b9308029
欢迎添加我的微信:cj350306878 一起交流学习探讨,请备注姓名 公司和职位,谢谢,如未授权请勿私自转载。
往期文章: