Изследователи по киберсигурност разкриха опасна уязвимост в уеб браузъра Safari, която позволява на зловредни лица да провеждат така наречената атака тип Browser-in-the-Middle (BitM). Посредством манипулиране на Fullscreen API, атакуващите могат да създадат фалшив прозорец, който наподобява легитимна страница, с цел кражба на потребителски данни.
BitM е техника, при която нападателят въвежда потребителя в фалшив интерфейс, симулиращ легитимна уебстраница. За целта той използва отдалечен браузър, стартиран чрез инструменти като noVNC – клиент, който позволява отдалечено управление на уеб браузър през VNC. Жертвата попада на фалшив сайт чрез зловредна реклама или линк в социалните мрежи, където й се показва уж автентичен прозорец за вход в дадена услуга (напр. Steam, Figma и др.).
Когато потребителят въведе своите данни, те се изпращат директно до сървъра на атакуващия, който впоследствие позволява реален достъп до акаунта, без жертвата да осъзнае, че е била измамена.
Fullscreen API е легитимен механизъм, използван от сайтовете за показване на съдържание на цял екран. Атакуващите използват тази функция, за да прикрият лентата с адреса и всички индикатори на браузъра, така че жертвата да не забележи, че е пренасочена към измамен сайт. Това прави фалшивия интерфейс още по-убедителен.
Според екипа на SquareX, проблемът при Safari е особено сериозен, защото Apple не предоставя ясно визуално предупреждение при преминаване в fullscreen режим. Докато браузъри като Chrome и Firefox показват известия, Safari разчита единствено на кратка анимация, която лесно може да остане незабелязана.
След като е информирана за уязвимостта, Apple е отговорила с “wontfix” – отказ да предприеме действия. Компанията счита, че текущото поведение (анимацията при преминаване в fullscreen) е достатъчно за потребителя да се ориентира. Това обаче противоречи на експертното мнение, че липсата на ясно предупреждение излага потребителите на значителен риск.
Браузърът не показва адресна лента или индикатор, което прави невъзможно да се определи дали сайтът е легитимен.
Традиционните защити не откриват атаката, тъй като тя не изисква експлоатиране на системни уязвимости – използва стандартни уеб функционалности.
Потребителят може да предостави своите данни без подозрение, вярвайки, че е в реална сесия с доверен уебсайт.
Използвайте браузъри с по-добри защитни механизми, като Chrome или Firefox, които предупреждават при преминаване във fullscreen.
Проверявайте URL адресите, преди да въвеждате лични данни – особено при реклами и препратки от социални мрежи.
Бъдете предпазливи при влизане в акаунти от непознати сайтове или рекламни линкове.
Използвайте многофакторна автентикация (MFA), за да затрудните неоторизиран достъп до акаунти дори при откраднати пароли.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
