IT之家 5 月 30 日消息,网络安全团队 SquareX 昨日(5 月 29 日)发布博文,报告称苹果 Safari 浏览器存在安全漏洞,攻击者可利用“全屏中间人浏览器”(BitM)技术窃取账号密码。
SquareX 团队指出,攻击者可以利用 BitM 技术,通过 Fullscreen API 操控网页内容进入全屏模式,隐藏地址栏等关键防护标识。
IT之家援引该团队介绍,BitM 攻击通常通过诱导用户点击恶意链接,将其重定向至伪装成目标服务的虚假网站。攻击者利用 noVNC 等开源工具,在受害者会话上叠加一个远程浏览器,显示 Steam 等真实的登录页面。
一旦用户输入凭据,这些信息直接落入攻击者手中,而用户仍能成功登录账户,毫无察觉被盗风险。攻击者常通过浏览器赞助广告、社交媒体帖子或评论推广虚假链接,例如伪装成 Figma 的网站,轻松诱骗用户上钩。
当用户忽略地址栏中的可疑 URL 并点击登录按钮时,隐藏的 BitM 窗口会被激活,进入全屏模式,覆盖虚假网站,显示用户原本想访问的合法页面。由于攻击利用的是标准浏览器 API,EDR 或 SASE / SSE 等常规安全解决方案无法触发警告。IT之家附上演示视频如下:
相比之下,Firefox 和 Chromium 系浏览器(如 Chrome 和 Edge)会在全屏模式激活时显示提示,尽管用户可能忽略,但仍起到一定防护作用。而 Safari 仅通过不易察觉的“滑动”动画提示全屏切换,极易被忽视。
SquareX 研究团队已将发现报告给苹果,但收到“wontfix”(不予修复)的回复,苹果表示现有动画已足够提示变化。不过研究团队强调,Safari 上缺乏清晰视觉提示,使得全屏 BitM 攻击极具说服力,安全隐患不容小觑。
