IT之家 5 月 30 日消息，網(wǎng)絡(luò)安全團(tuán)隊 SquareX 昨日（5 月 29 日）發(fā)布博文，報告稱蘋果 Safari 瀏覽器存在安全漏洞，攻擊者可利用“全屏中間人瀏覽器”（BitM）技術(shù)竊取賬號密碼。

SquareX 團(tuán)隊指出，攻擊者可以利用 BitM 技術(shù)，通過 Fullscreen API 操控網(wǎng)頁內(nèi)容進(jìn)入全屏模式，隱藏地址欄等關(guān)鍵防護(hù)標(biāo)識。

IT之家援引該團(tuán)隊介紹，BitM 攻擊通常通過誘導(dǎo)用戶點(diǎn)擊惡意鏈接，將其重定向至偽裝成目標(biāo)服務(wù)的虛假網(wǎng)站。攻擊者利用 noVNC 等開源工具，在受害者會話上疊加一個遠(yuǎn)程瀏覽器，顯示 Steam 等真實(shí)的登錄頁面。

一旦用戶輸入憑據(jù)，這些信息直接落入攻擊者手中，而用戶仍能成功登錄賬戶，毫無察覺被盜風(fēng)險。攻擊者常通過瀏覽器贊助廣告、社交媒體帖子或評論推廣虛假鏈接，例如偽裝成 Figma 的網(wǎng)站，輕松誘騙用戶上鉤。

當(dāng)用戶忽略地址欄中的可疑 URL 并點(diǎn)擊登錄按鈕時，隱藏的 BitM 窗口會被激活，進(jìn)入全屏模式，覆蓋虛假網(wǎng)站，顯示用戶原本想訪問的合法頁面。由于攻擊利用的是標(biāo)準(zhǔn)瀏覽器 API，EDR 或 SASE / SSE 等常規(guī)安全解決方案無法觸發(fā)警告。IT之家附上演示視頻如下：

相比之下，F(xiàn)irefox 和 Chromium 系瀏覽器（如 Chrome 和 Edge）會在全屏模式激活時顯示提示，盡管用戶可能忽略，但仍起到一定防護(hù)作用。而 Safari 僅通過不易察覺的“滑動”動畫提示全屏切換，極易被忽視。

SquareX 研究團(tuán)隊已將發(fā)現(xiàn)報告給蘋果，但收到“wontfix”（不予修復(fù)）的回復(fù)，蘋果表示現(xiàn)有動畫已足夠提示變化。不過研究團(tuán)隊強(qiáng)調(diào)，Safari 上缺乏清晰視覺提示，使得全屏 BitM 攻擊極具說服力，安全隱患不容小覷。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。