关键词
安全漏洞
安全研究人员披露苹果Safari浏览器存在设计缺陷,攻击者可利用全屏模式实施“浏览器中间人攻击”(BitM)窃取用户凭证。该漏洞源于网页通过Fullscreen API进入全屏模式时,Safari缺乏明确警示机制,使恶意窗口得以隐藏地址栏并伪装成合法登录页面。
网络安全公司SquareX指出,攻击者通过滥用全屏API实现三重欺骗:
-
利用noVNC等开源工具在受害者会话层叠加远程控制浏览器 -
通过赞助广告/社交媒体推送伪造目标服务登录页链接 -
当用户点击登录按钮时激活隐藏的BitM窗口
典型案例显示,攻击者伪造Steam和Figma登录页诱导用户输入凭证。由于登录过程实际发生在攻击者控制的浏览器中,受害者仍能正常登录账户,难以察觉信息泄露。值得注意的是,此类攻击能规避端点检测(EDR)及安全访问服务边缘(SASE/SSE)等防护方案。
浏览器防护机制对比显示:
-
Firefox/Chrome/Edge进入全屏时强制弹出警示框 -
Safari仅显示易被忽略的滑动动画
SquareX研究人员强调:“尽管所有浏览器均受影响,但Safari因缺乏视觉警示使攻击更具欺骗性。”
苹果公司收到漏洞报告后回应称“无意修复”,认为现有动画提示已足够。目前安全社区正推动苹果重新评估该决定。
END
原文始发于微信公众号(安全圈):【安全圈】苹果 Safari 全屏模式曝中间人攻击漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论