近日,網絡安全專家團隊SquareX披露了一項針對蘋果Safari瀏覽器的重大安全威脅。據該團隊透露,一種名為“全屏中間人瀏覽器”(BitM)的技術可能被黑客利用,以竊取用戶的賬號密碼。
SquareX詳細闡述了BitM攻擊的工作原理。攻擊者通過誘導用戶點擊惡意鏈接,將用戶重定向至仿冒的目標服務網站。隨后,利用諸如noVNC等開源工具,在受害者的會話上疊加一個遠程瀏覽器,展示如Steam等真實的登錄頁面。用戶在不知情的情況下輸入賬號密碼,這些信息便直接落入攻擊者手中。
這種攻擊手段極具欺騙性,攻擊者常通過瀏覽器廣告、社交媒體帖子或評論等方式散布虛假鏈接。例如,偽裝成Figma的網站,便能輕松誘騙用戶點擊。一旦用戶忽略了地址欄中的可疑URL并點擊登錄,隱藏的BitM窗口隨即被激活,進入全屏模式,覆蓋仿冒網站,顯示用戶原本意圖訪問的合法頁面。
SquareX指出,Safari瀏覽器在全屏模式激活時,僅通過不易察覺的“滑動”動畫提示用戶,這使得攻擊極具說服力且難以被察覺。相比之下,Firefox和Chromium系瀏覽器(如Chrome和Edge)在全屏模式激活時會顯示明顯的提示,盡管用戶可能忽略,但仍具有一定的防護作用。
SquareX研究團隊已將這一安全漏洞報告給蘋果公司,但遺憾的是,他們收到了“不予修復”的回復。蘋果認為現有的動畫提示已足夠提示用戶界面的變化。然而,SquareX團隊強調,Safari上缺乏清晰的視覺提示,使得全屏BitM攻擊極具隱蔽性,安全隱患不容忽視。
為了進一步說明問題,SquareX還提供了演示視頻,展示了攻擊的全過程。視頻中,當用戶點擊登錄按鈕時,隱藏的BitM窗口迅速進入全屏模式,覆蓋仿冒網站,顯示用戶原本想訪問的頁面,整個過程流暢且難以察覺。
SquareX團隊呼吁蘋果重新審視這一安全問題,并采取必要的措施來增強Safari瀏覽器的安全防護能力。同時,也提醒廣大用戶保持警惕,避免點擊不明鏈接,確保個人信息安全。
