クリップボードを乗っ取る悪質Flash広告が登場 22
ストーリー by hayakawa
クリップボードも信用できない時代到来 部門より
クリップボードも信用できない時代到来 部門より
あるAnonymous Coward 曰く、
FlashのSystem.setClipboard()メソッドを悪用し、クリップボードの内容を偽セキュリティソフト配布用URLで上書きする悪質なFlash広告が確認されている(IT Proの記事、sofos.com、本家/.)。
このFlash広告は通常のサイト(Newsweek/Digg/MSNBCなどで確認されている)に掲載されており、そのサイトにアクセスすると偽セキュリティソフト配布サイトのURLがクリップボードにコピーされてしまう。この状態でWebブラウザのアドレスバーにペーストしページを表示させると、偽セキュリティソフトの配布サイトにアクセスしてしまう。メールや掲示板などからURLをコピペするのは頻繁に行われる動作であり、またユーザが普段からアクセスしているサイトに仕込まれる形となっているため被害に繋がっているようだ。
なお、本家にてこの手法の無害なデモ版が紹介されている。
注)デモにアクセスするとクリップボードにURLがコピーされる。これを初期化するにはデモのウィンドウを閉じる必要がある。
10年前に通った道 (スコア:4, 参考になる)
Re: (スコア:0)
Re: (スコア:0)
クリップボードはwoなんだよな (スコア:3, 参考になる)
クリップボードに変なテキストを設定するような悪戯スクリプトなんかはたまに見たが、言われて確かにSPAM用途でも使われそうな機能だなぁ。
Re:クリップボードはwoなんだよな (スコア:1, 参考になる)
これで信頼済みのサイトは警告なしにすることもできるので、
自分のサイトを開いただけでクリップボードが検索ボックスに貼り付けされていて、
検索サイトをボタンで選択するだけ、という便利な使い方もできます。
# これがFirefoxだとそうもいかない。その抜け道としてFlashを経由するのはよく知られていた。
Re:クリップボードはwoなんだよな (スコア:3, 興味深い)
window.clipboardData.getData('text')
それが無理でも、貼り付けしちゃえば読めそうな気も。
var div = document.createElement("<div contentEditable='true'>");
var range = documet.body.createTextRange();
range.moveToElementText(div);
range.execCommand("Paste");
var text = div.innerText;
div.parentNode.removeChild(div);
身近?な応用例 (スコア:3, 興味深い)
欲しい人だけに販売するオールスポーツコミュニティ [allsports.jp]というサイトがあるんですが
自分の写真を見つけて友人に「ほらほら」とか教えようとしても、クリップボードが上書きされて
URLがコピーできない仕様になってます。正直かなりイラつきます(笑)
…というのを体感したので、クリップボードの乗っ取りというのは理解はしていたんですが
spam(≠SPAM)に使うことまで思いつかなかった。なるほどなぁ。
OS関係なく出そう (スコア:3, 参考になる)
たしかに発想の転換ですねこれは。。。
うへぇ (スコア:3, 参考になる)
酷いなこれは。
# 他の文字列コピーしても瞬時に書き換えられてるっぽい。
# 試しに開いた状態と閉じた状態でCPU使用率を比較してみたが、4コア全てに20%近くの負荷が発生する。
# ひたすら上書きしてるようだ。
# シングルコアだと結構体感できる差になるのではなかろうか。
Re:うへぇ (スコア:1, 参考になる)
ためしにIETabで(IEバージョンは6)で表示してみましたが同様でした。
TinyURL (スコア:2, 参考になる)
例) www.google.co.jp を短くする [tinyurl.com]
使い方によっては便利ですが……。
Re:TinyURL (スコア:3, 興味深い)
TinyURLで自動でクリップボードに入ってくるのに慣れれば慣れるほどURLの文字列を確認しなくなるかと。
その状態になればhttp://tinyurl.com/1awlがhttp://tinyurl.com/2hjy7にすり替わっても気がつかないと思う。
勿論利便性はわかるのですけどねぇ。
その発想はなかった (スコア:1, 興味深い)
Re:その発想はなかった (スコア:1, 参考になる)
盗み見る方はIE6の時に流行ったな。
IE6のデフォルトの設定だと無警告でクリップボードの内容を取得される。
流石にIE7になってからはデフォルトの設定でも警告が表示されるようになった。
AS (スコア:1)
Re:AS (スコア:4, 興味深い)
@ITの場合 [atmarkit.co.jp].flaの提出も条件となってますが、 とあり、一応禁止事項はありますが素人が見てるんでしょうし、
YouTubeの場合 [youtube.com].swfだけ入稿しろと見えますし。
そもそも、.flaを提出されても、FlashMXとかの使いづらいスクリプトエディタじゃどこにどんなASが仕込んであるか追えないと思う。
Re:AS (スコア:1, おもしろおかしい)
とりあえず、ゴミはゴミ箱へ (スコア:1)
-------- tear straight across --------
ユーザーアクション (スコア:0)
Re: (スコア:0)
クリップボード変更よりこのごろくらったのは、印刷するまで延々と印刷ダイアログが出て
ブラウザを閉じさせてくれないswf
なんとかキーボードとマウスの連打で切り抜けたけど
もしかすると印刷しても延々と印刷ダイアログが出るのかも・・・
Re: (スコア:0)
Re:ユーザーアクション (スコア:2, 興味深い)
そのサイトを開いている限り常にクリップボードにコピーされる。
他でコピーをやっても、上書きされます。
# クリップボードツール表示させたままやったらそうなったので。
ついでに、クリップNote-Proを使用しているのですが、マウスクリックで
選択して貼り付けてもそれしか貼り付けできません。
# クリップNoteの仕様がクリップボード経由なんだから当然といえば当然かw