江蘇
關(guān)鍵詞
安全漏洞
近日,安全公司SquareX發(fā)文披露了一種名為“Browser in the Middle”的新型釣魚攻擊手法,能讓黑客在暗中竊取用戶的賬號(hào)密碼等敏感信息。
據(jù)介紹,“Browser in the Middle”屬于中間人攻擊的一種,該手法通過偽造彈窗登錄頁,誘使用戶輸入賬號(hào)密碼,從而竊取敏感信息。
目前業(yè)界主流的Chrome、Edge、Safari瀏覽器都存在設(shè)計(jì)缺陷,黑客可以利用瀏覽器的Fullscreen API,將相應(yīng)彈窗登錄頁設(shè)置為“全屏顯示”,這樣就能隱藏URL,增加欺騙性。
研究人員指出,目前各大瀏覽器的Fullscreen API并未明確規(guī)定第三方網(wǎng)站該如何觸發(fā)全屏,因此黑客可以在相應(yīng)釣魚彈窗中加入一個(gè)假的“登錄”按鈕。
用戶在點(diǎn)擊后就會(huì)被偷偷切換到全屏,進(jìn)而降低用戶關(guān)閉全屏查看核對(duì)URL的概率。
研究人員還指出,蘋果Safari瀏覽器風(fēng)險(xiǎn)最高,因其全屏切換無提示。
而Chromium內(nèi)核瀏覽器(如Chrome、Edge)雖有短暫提示,但也只會(huì)短暫顯示幾秒,用戶難以注意到。
安全圈
網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全
實(shí)時(shí)資訊一手掌握!
好看你就分享 有用就點(diǎn)個(gè)贊
支持「安全圈」就點(diǎn)個(gè)三連吧!
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
