关于剪贴板里神出鬼没的红包口令
前言:
在马云对支付宝红包活动持续砸钱后,这个活动在某些恶人的催化之后,传播红包的方法也是各种恶心到底线:群发口令或者自动跳转链接(这种恶性跳转,甚至被腾讯玄武实验室单独提出,命名为“应用克隆”漏洞,详情介绍请看这篇FreeBuf:应用克隆,从支付宝自动领红包链接谈起),以及之前新闻报道的小区/校园附近基站发送红包广告短信
然后就在这几天,这些恶人又想到一种新的传播方式:在用户不经意间修改手机用户的粘贴板信息为红包代码:
这两图,是分别为IOS系统和安卓系统的中招结果
起初,认为是在访问网站时,被JS篡改了粘贴板内容。带着好奇心,百度了相关JS用法,写出了如下能到达类似功能的JS代码
<script src="https://cdn.bootcss.com/clipboard.js/1.7.1/clipboard.min.js"></script> <script> var clipboard = new Clipboard('.hongbao', { text: function () { // 将自己的红包口令放入单引号内 return 'IkL1qo28Iu'; } }); </script>
注意:这段代码,还需在网页上找一个点击率比较高的<button>标签,在其上添加一个class=”hongbao”属性即可
但是预计的效果是:进入网站就得实现,自动修改粘贴板内容。这段代码得依靠个点击事件。在网上的文献资料,都是得依靠一个点击事件,才可以触发。这就很奇怪,可以加个.click来实现模拟点击触发吗?
结果不如人意:
可以看到,模拟点击效果能把简单的alert弹窗运作,但是复制到粘贴板的操作无法运行…..emmm….
再百度总结出如下:
网页JS是做不出自动修改用户粘贴板内容的操作,这里 JS存在一个权限问题,用户的粘贴板区域属于敏感区,想要修改这里,必须引导用户来完成一个点击事件,才可以对粘贴板修改
当然你也可以伪造出各种div层,诱导用户做出一个神不知鬼不觉的点击事件,在这个点击事件上做出相应的触发事件
但是,这样还是没找到粘贴板被置入红包代码的最终元凶。。。