安全公司披露黑客新型釣魚(yú)攻擊手法，利用虛假?gòu)棿暗卿涰?yè) + 全屏 Fullscreen API 欺騙用戶

IT之家 6 月 2 日消息，安全公司 SquareX 發(fā)文披露了一種名為“Browser in the Middle”的新型釣魚(yú)攻擊手法，能讓黑客在暗中竊取用戶的賬號(hào)密碼等敏感信息。

據(jù)介紹，“Browser in the Middle”屬于中間人攻擊的一種，也就是虛假的彈窗登錄頁(yè)（黑客山寨 Steam 等網(wǎng)站的登錄頁(yè)面，欺騙用戶自己輸入賬號(hào)密碼），目前業(yè)界主流的 Chrome、Edge、Safari 瀏覽器都存在設(shè)計(jì)缺陷，黑客可以利用瀏覽器的 Fullscreen API，將相應(yīng)彈窗登錄頁(yè)設(shè)置為“全屏顯示”，這樣就能隱藏 URL，大大降低被用戶發(fā)現(xiàn)的幾率。

研究人員指出，目前各大瀏覽器的 Fullscreen API 并未明確規(guī)定第三方網(wǎng)站該如何觸發(fā)全屏，因此黑客可以在相應(yīng)釣魚(yú)彈窗中加入一個(gè)假的“登錄”按鈕，用戶點(diǎn)擊后就會(huì)被偷偷切換到全屏，進(jìn)而降低用戶關(guān)閉全屏查看核對(duì) URL 的概率。

研究人員同時(shí)表示，蘋(píng)果 Safari 瀏覽器風(fēng)險(xiǎn)最高，這是因?yàn)?Safari 在切換到網(wǎng)頁(yè)全屏模式時(shí)不會(huì)顯示任何提示。而基于 Chromium 內(nèi)核的瀏覽器（如谷歌 Chrome、微軟 Edge）雖然會(huì)彈出提示，但也只會(huì)短暫顯示幾秒，用戶難以注意到。