ice 近日,一则关于苹果 Safari 浏览器存在漏洞的消息引发轩然大波。据安全研究机构 SquareX 披露,苹果 Safari 浏览器存在一个严重的安全漏洞,攻击者可利用 “全屏浏览器中间人”(BitM)攻击窃取用户的账号密码等敏感信息,这一消息再次敲响了网络安全的警钟。
漏洞原理:巧妙利用全屏 API 隐匿攻击
该漏洞的原理是通过滥用浏览器的全屏 API,使 BitM 攻击窗口覆盖浏览器的地址栏等区域,从而使用户在不知情的情况下输入敏感信息。攻击者通常会诱导用户点击恶意链接,进入一个伪装成可信服务的钓鱼网站。
当用户点击页面中经过伪装的按钮(如假登录按钮)时,触发全屏 API 请求全屏模式。
由于 Safari 浏览器在全屏模式下几乎没有任何明显视觉提示,攻击者便可以悄无声息地将 BitM 攻击窗口全屏显示,让用户误以为自己是在正常的浏览器窗口中进行操作,进而输入账号密码等重要信息。
风险分析:信息泄露与攻击隐蔽性带来的双重威胁
用户信息泄露风险高
一旦用户在攻击者控制的浏览器窗口中输入信息,诸如银行账户、社交媒体账号等各类敏感信息就可能落入不法分子手中。
这些信息若被恶意利用,用户可能会面临财产损失、隐私被侵犯等一系列严重后果,给个人生活带来极大的困扰和安全隐患。
攻击隐蔽性强
与传统 BitM 攻击相比,全屏 BitM 攻击在 Safari 浏览器中更具隐蔽性。
传统 BitM 攻击中,浏览器的地址栏通常会显示可疑 URL,而全屏 BitM 攻击通过覆盖地址栏等区域,使得用户无法通过观察 URL 来判断网站的真实性。这种隐蔽性极大地增加了用户识别风险的难度,攻击者可以更轻易地实施攻击而不被察觉。
其他浏览器也存在漏洞基础
虽然此次曝光的漏洞主要针对 Safari 浏览器,但其他浏览器如 Firefox、Chrome、Edge 等使用的也是相同的全屏 API。
尽管这些浏览器在全屏模式切换时会显示非常短暂且微妙的通知,然而用户在专注于任务时往往容易忽略这些通知,这意味着其他浏览器也并非完全免疫此类攻击。
苹果回应:坚持设计不改,用户陷入两难
面对这一漏洞,苹果回应称,Safari 浏览器的全屏 API 行为符合设计预期,因此不会更改,也不会针对此漏洞发布补丁。
这一决定引发了广泛争议。对于苹果而言,其注重用户体验和产品设计的一致性,或许认为改变全屏 API 的行为可能会影响其他正常功能或用户体验,但从安全角度来看,这无疑让用户暴露在潜在的危险之中。
用户们陷入了两难境地,一方面享受着 Safari 浏览器带来的便捷操作和良好体验,另一方面却要担忧个人信息被窃取的风险。
免责声明:本文部分文字、图片、音视频来源于网络不代表本站观点,版权归版权所有人所有。本文无意侵犯媒体或个人知识产权,如有异议请与我们联系。
