近日,网络安全专家团队SquareX披露了一项针对苹果Safari浏览器的重大安全威胁。据该团队透露,一种名为“全屏中间人浏览器”(BitM)的技术可能被黑客利用,以窃取用户的账号密码。
SquareX详细阐述了BitM攻击的工作原理。攻击者通过诱导用户点击恶意链接,将用户重定向至仿冒的目标服务网站。随后,利用诸如noVNC等开源工具,在受害者的会话上叠加一个远程浏览器,展示如Steam等真实的登录页面。用户在不知情的情况下输入账号密码,这些信息便直接落入攻击者手中。
这种攻击手段极具欺骗性,攻击者常通过浏览器广告、社交媒体帖子或评论等方式散布虚假链接。例如,伪装成Figma的网站,便能轻松诱骗用户点击。一旦用户忽略了地址栏中的可疑URL并点击登录,隐藏的BitM窗口随即被激活,进入全屏模式,覆盖仿冒网站,显示用户原本意图访问的合法页面。
SquareX指出,Safari浏览器在全屏模式激活时,仅通过不易察觉的“滑动”动画提示用户,这使得攻击极具说服力且难以被察觉。相比之下,Firefox和Chromium系浏览器(如Chrome和Edge)在全屏模式激活时会显示明显的提示,尽管用户可能忽略,但仍具有一定的防护作用。
SquareX研究团队已将这一安全漏洞报告给苹果公司,但遗憾的是,他们收到了“不予修复”的回复。苹果认为现有的动画提示已足够提示用户界面的变化。然而,SquareX团队强调,Safari上缺乏清晰的视觉提示,使得全屏BitM攻击极具隐蔽性,安全隐患不容忽视。
为了进一步说明问题,SquareX还提供了演示视频,展示了攻击的全过程。视频中,当用户点击登录按钮时,隐藏的BitM窗口迅速进入全屏模式,覆盖仿冒网站,显示用户原本想访问的页面,整个过程流畅且难以察觉。
SquareX团队呼吁苹果重新审视这一安全问题,并采取必要的措施来增强Safari浏览器的安全防护能力。同时,也提醒广大用户保持警惕,避免点击不明链接,确保个人信息安全。
