Chromiumベースのブラウザがユーザーの許可なくクリップボードに書き込む可能性

Google Chromeを初めとしたChromiumベースのWebブラウザに、Webサイトからユーザーの許可無くシステムクリップボードに情報を書き込むことが出来るという問題が存在することがわかりました(gHacks)。

FirefoxとSafariにはクリップボードを利用する際にユーザーのゼスチャー(Ctrl-Cなどの操作)を要求するという保護機能が搭載されていますが、Chromiumベースのブラウザにはそのような制限は存在していません。ChromiumベースのブラウザのひとつであるBraveは、2021年、書き込みの際にジェスチャーを必要とする制限を追加しようとしたものの、まだ実装されていないとのことです。

この問題はChromeで、Webplatform Newsを開くと簡単に確認することができ、ページ表示後、クリップボードに以下のような内容が書き込まれていることがわかります。

Hello, this message is in your clipboard because you visited the website Web Platform News in a browser that allows websites to write to the clipboard without the user’s permission. Sorry for the inconvenience. For more information about this issue, see https://github.com/w3c/clipboard-apis/issues/182.

Chromiumではクリップボードの読み込み・書き込みの際にジェスチャーを必要とする要件が「NTP doodle sharing」を破壊するとして取り除かれている模様。

Adding user gesture requirement for readText and writeText APIs
breaks NTP doodle sharing. We are relaxing this check for now, but
we should fix this for sites to not rely on these APIs to be called
without a user gesture.
See NewTabPageDoodleShareDialogFocusTest.All test for more details.