Safari浏览器遭黑客利用全屏黑客攻击手法难辨真假
苹果的Safari浏览器正被黑客利用——
黑客通过全屏浏览器中间人(BitM)攻击,伪装成真实登录界面,诱导用户输入账号密码,已经有爱用全屏浏览模式的网友中招了!
该攻击的核心就是,全屏显示的浏览器窗口,看不见地址栏,从而用假网址欺骗用户。
具体操作方式是这样的:
- 攻击者诱导用户点击伪造链接(例如伪装成Figma或Steam的登录页面);
- 一旦用户进入该页面并点击“登录”,隐藏的黑客浏览器窗口会被激活;
- 攻击者利用Fullscreen API让这个窗口进入全屏模式,遮住浏览器地址栏;
- Safari浏览器在进入全屏时,唯一的提示仅是一段容易被忽略的动画,这使得攻击更加隐蔽。
更麻烦的是,这种攻击不会触发大多数安全软件的预警。即使在Chrome或Firefox中,这类攻击也能运行,但这些浏览器至少会弹出“正在进入全屏”的提示,而Safari的窗口是滑动动画,非常容易被忽略。
SquareX团队已向Apple通报了该问题,但苹果方面回应为“wontfix”,理由是“动画已经足够提示用户”。
目前,相关攻击已被观察到在社交媒体广告、评论区等渠道活跃传播。提醒Safari用户格外警惕,遇到需要登录的重要页面时,务必核对网址,不要轻易信任任何看似正常的界面。
