近日，一則關(guān)于蘋果 Safari 瀏覽器存在漏洞的消息引發(fā)軒然大波。據(jù)安全研究機構(gòu) SquareX 披露，蘋果 Safari 瀏覽器存在一個嚴重的安全漏洞，攻擊者可利用 “全屏瀏覽器中間人”（BitM）攻擊竊取用戶的賬號密碼等敏感信息，這一消息再次敲響了網(wǎng)絡(luò)安全的警鐘。

漏洞原理：巧妙利用全屏 API 隱匿攻擊

該漏洞的原理是通過濫用瀏覽器的全屏 API，使 BitM 攻擊窗口覆蓋瀏覽器的地址欄等區(qū)域，從而使用戶在不知情的情況下輸入敏感信息。攻擊者通常會誘導用戶點擊惡意鏈接，進入一個偽裝成可信服務(wù)的釣魚網(wǎng)站。

當用戶點擊頁面中經(jīng)過偽裝的按鈕（如假登錄按鈕）時，觸發(fā)全屏 API 請求全屏模式。

由于 Safari 瀏覽器在全屏模式下幾乎沒有任何明顯視覺提示，攻擊者便可以悄無聲息地將 BitM 攻擊窗口全屏顯示，讓用戶誤以為自己是在正常的瀏覽器窗口中進行操作，進而輸入賬號密碼等重要信息。

風險分析：信息泄露與攻擊隱蔽性帶來的雙重威脅

用戶信息泄露風險高

一旦用戶在攻擊者控制的瀏覽器窗口中輸入信息，諸如銀行賬戶、社交媒體賬號等各類敏感信息就可能落入不法分子手中。

這些信息若被惡意利用，用戶可能會面臨財產(chǎn)損失、隱私被侵犯等一系列嚴重后果，給個人生活帶來極大的困擾和安全隱患。

攻擊隱蔽性強

與傳統(tǒng) BitM 攻擊相比，全屏 BitM 攻擊在 Safari 瀏覽器中更具隱蔽性。

傳統(tǒng) BitM 攻擊中，瀏覽器的地址欄通常會顯示可疑 URL，而全屏 BitM 攻擊通過覆蓋地址欄等區(qū)域，使得用戶無法通過觀察 URL 來判斷網(wǎng)站的真實性。這種隱蔽性極大地增加了用戶識別風險的難度，攻擊者可以更輕易地實施攻擊而不被察覺。

其他瀏覽器也存在漏洞基礎(chǔ)

雖然此次曝光的漏洞主要針對 Safari 瀏覽器，但其他瀏覽器如 Firefox、Chrome、Edge 等使用的也是相同的全屏 API。

盡管這些瀏覽器在全屏模式切換時會顯示非常短暫且微妙的通知，然而用戶在專注于任務(wù)時往往容易忽略這些通知，這意味著其他瀏覽器也并非完全免疫此類攻擊。

蘋果回應(yīng)：堅持設(shè)計不改，用戶陷入兩難

面對這一漏洞，蘋果回應(yīng)稱，Safari 瀏覽器的全屏 API 行為符合設(shè)計預(yù)期，因此不會更改，也不會針對此漏洞發(fā)布補丁。

這一決定引發(fā)了廣泛爭議。對于蘋果而言，其注重用戶體驗和產(chǎn)品設(shè)計的一致性，或許認為改變?nèi)?API 的行為可能會影響其他正常功能或用戶體驗，但從安全角度來看，這無疑讓用戶暴露在潛在的危險之中。

用戶們陷入了兩難境地，一方面享受著 Safari 瀏覽器帶來的便捷操作和良好體驗，另一方面卻要擔憂個人信息被竊取的風險。

免責聲明：本文部分文字、圖片、音視頻來源于網(wǎng)絡(luò)不代表本站觀點，版權(quán)歸版權(quán)所有人所有。本文無意侵犯媒體或個人知識產(chǎn)權(quán)，如有異議請與我們聯(lián)系。

ice

收藏 海報分享