HackerNews 编译,转载请注明出处:
安全研究人员披露苹果Safari浏览器存在设计缺陷,攻击者可利用全屏模式实施“浏览器中间人攻击”(BitM)窃取用户凭证。该漏洞源于网页通过Fullscreen API进入全屏模式时,Safari缺乏明确警示机制,使恶意窗口得以隐藏地址栏并伪装成合法登录页面。
网络安全公司SquareX指出,攻击者通过滥用全屏API实现三重欺骗:
- 利用noVNC等开源工具在受害者会话层叠加远程控制浏览器通过赞助广告/社交媒体推送伪造目标服务登录页链接当用户点击登录按钮时激活隐藏的BitM窗口
典型案例显示,攻击者伪造Steam和Figma登录页诱导用户输入凭证。由于登录过程实际发生在攻击者控制的浏览器中,受害者仍能正常登录账户,难以察觉信息泄露。值得注意的是,此类攻击能规避端点检测(EDR)及安全访问服务边缘(SASE/SSE)等防护方案。
浏览器防护机制对比显示:
- Firefox/Chrome/Edge进入全屏时强制弹出警示框Safari仅显示易被忽略的滑动动画
SquareX研究人员强调:“尽管所有浏览器均受影响,但Safari因缺乏视觉警示使攻击更具欺骗性。”
苹果公司收到漏洞报告后回应称“无意修复”,认为现有动画提示已足够。目前安全社区正推动苹果重新评估该决定。
消息来源: bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
