近日，一則關(guān)于蘋(píng)果 Safari 瀏覽器存在漏洞的消息引發(fā)軒然大波。據(jù)安全研究機(jī)構(gòu) SquareX 披露，蘋(píng)果 Safari 瀏覽器存在一個(gè)嚴(yán)重的安全漏洞，攻擊者可利用 “全屏瀏覽器中間人”（BitM）攻擊竊取用戶的賬號(hào)密碼等敏感信息，這一消息再次敲響了網(wǎng)絡(luò)安全的警鐘。

漏洞原理：巧妙利用全屏 API 隱匿攻擊

該漏洞的原理是通過(guò)濫用瀏覽器的全屏 API，使 BitM 攻擊窗口覆蓋瀏覽器的地址欄等區(qū)域，從而使用戶在不知情的情況下輸入敏感信息。攻擊者通常會(huì)誘導(dǎo)用戶點(diǎn)擊惡意鏈接，進(jìn)入一個(gè)偽裝成可信服務(wù)的釣魚(yú)網(wǎng)站。

當(dāng)用戶點(diǎn)擊頁(yè)面中經(jīng)過(guò)偽裝的按鈕（如假登錄按鈕）時(shí)，觸發(fā)全屏 API 請(qǐng)求全屏模式。

由于 Safari 瀏覽器在全屏模式下幾乎沒(méi)有任何明顯視覺(jué)提示，攻擊者便可以悄無(wú)聲息地將 BitM 攻擊窗口全屏顯示，讓用戶誤以為自己是在正常的瀏覽器窗口中進(jìn)行操作，進(jìn)而輸入賬號(hào)密碼等重要信息。

風(fēng)險(xiǎn)分析：信息泄露與攻擊隱蔽性帶來(lái)的雙重威脅

用戶信息泄露風(fēng)險(xiǎn)高

一旦用戶在攻擊者控制的瀏覽器窗口中輸入信息，諸如銀行賬戶、社交媒體賬號(hào)等各類(lèi)敏感信息就可能落入不法分子手中。

這些信息若被惡意利用，用戶可能會(huì)面臨財(cái)產(chǎn)損失、隱私被侵犯等一系列嚴(yán)重后果，給個(gè)人生活帶來(lái)極大的困擾和安全隱患。

攻擊隱蔽性強(qiáng)

與傳統(tǒng) BitM 攻擊相比，全屏 BitM 攻擊在 Safari 瀏覽器中更具隱蔽性。

傳統(tǒng) BitM 攻擊中，瀏覽器的地址欄通常會(huì)顯示可疑 URL，而全屏 BitM 攻擊通過(guò)覆蓋地址欄等區(qū)域，使得用戶無(wú)法通過(guò)觀察 URL 來(lái)判斷網(wǎng)站的真實(shí)性。這種隱蔽性極大地增加了用戶識(shí)別風(fēng)險(xiǎn)的難度，攻擊者可以更輕易地實(shí)施攻擊而不被察覺(jué)。

其他瀏覽器也存在漏洞基礎(chǔ)

雖然此次曝光的漏洞主要針對(duì) Safari 瀏覽器，但其他瀏覽器如 Firefox、Chrome、Edge 等使用的也是相同的全屏 API。

盡管這些瀏覽器在全屏模式切換時(shí)會(huì)顯示非常短暫且微妙的通知，然而用戶在專(zhuān)注于任務(wù)時(shí)往往容易忽略這些通知，這意味著其他瀏覽器也并非完全免疫此類(lèi)攻擊。

蘋(píng)果回應(yīng)：堅(jiān)持設(shè)計(jì)不改，用戶陷入兩難

面對(duì)這一漏洞，蘋(píng)果回應(yīng)稱(chēng)，Safari 瀏覽器的全屏 API 行為符合設(shè)計(jì)預(yù)期，因此不會(huì)更改，也不會(huì)針對(duì)此漏洞發(fā)布補(bǔ)丁。

這一決定引發(fā)了廣泛爭(zhēng)議。對(duì)于蘋(píng)果而言，其注重用戶體驗(yàn)和產(chǎn)品設(shè)計(jì)的一致性，或許認(rèn)為改變?nèi)?API 的行為可能會(huì)影響其他正常功能或用戶體驗(yàn)，但從安全角度來(lái)看，這無(wú)疑讓用戶暴露在潛在的危險(xiǎn)之中。

用戶們陷入了兩難境地，一方面享受著 Safari 瀏覽器帶來(lái)的便捷操作和良好體驗(yàn)，另一方面卻要擔(dān)憂個(gè)人信息被竊取的風(fēng)險(xiǎn)。

免責(zé)聲明：本文部分文字、圖片、音視頻來(lái)源于網(wǎng)絡(luò)不代表本站觀點(diǎn)，版權(quán)歸版權(quán)所有人所有。本文無(wú)意侵犯媒體或個(gè)人知識(shí)產(chǎn)權(quán)，如有異議請(qǐng)與我們聯(lián)系。

ice

收藏 海報(bào)分享