江蘇
關(guān)鍵詞
安全漏洞
安全研究人員披露蘋果Safari瀏覽器存在設(shè)計(jì)缺陷,攻擊者可利用全屏模式實(shí)施“瀏覽器中間人攻擊”(BitM)竊取用戶憑證。該漏洞源于網(wǎng)頁通過Fullscreen API進(jìn)入全屏模式時(shí),Safari缺乏明確警示機(jī)制,使惡意窗口得以隱藏地址欄并偽裝成合法登錄頁面。
網(wǎng)絡(luò)安全公司SquareX指出,攻擊者通過濫用全屏API實(shí)現(xiàn)三重欺騙:
利用noVNC等開源工具在受害者會(huì)話層疊加遠(yuǎn)程控制瀏覽器
通過贊助廣告/社交媒體推送偽造目標(biāo)服務(wù)登錄頁鏈接
當(dāng)用戶點(diǎn)擊登錄按鈕時(shí)激活隱藏的BitM窗口
典型案例顯示,攻擊者偽造Steam和Figma登錄頁誘導(dǎo)用戶輸入憑證。由于登錄過程實(shí)際發(fā)生在攻擊者控制的瀏覽器中,受害者仍能正常登錄賬戶,難以察覺信息泄露。值得注意的是,此類攻擊能規(guī)避端點(diǎn)檢測(EDR)及安全訪問服務(wù)邊緣(SASE/SSE)等防護(hù)方案。
瀏覽器防護(hù)機(jī)制對比顯示:
Firefox/Chrome/Edge進(jìn)入全屏?xí)r強(qiáng)制彈出警示框
Safari僅顯示易被忽略的滑動(dòng)動(dòng)畫
SquareX研究人員強(qiáng)調(diào):“盡管所有瀏覽器均受影響,但Safari因缺乏視覺警示使攻擊更具欺騙性。”
蘋果公司收到漏洞報(bào)告后回應(yīng)稱“無意修復(fù)”,認(rèn)為現(xiàn)有動(dòng)畫提示已足夠。目前安全社區(qū)正推動(dòng)蘋果重新評估該決定。
安全圈
網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全
實(shí)時(shí)資訊一手掌握!
好看你就分享 有用就點(diǎn)個(gè)贊
支持「安全圈」就點(diǎn)個(gè)三連吧!
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
