Изследователи по киберсигурност разкриха опасна уязвимост в уеб браузъра Safari, която позволява на зловредни лица да провеждат така наречената атака тип Browser-in-the-Middle (BitM). Посредством манипулиране на Fullscreen API, атакуващите могат да създадат фалшив прозорец, който наподобява легитимна страница, с цел кражба на потребителски данни.

Какво представлява атаката BitM?

BitM е техника, при която нападателят въвежда потребителя в фалшив интерфейс, симулиращ легитимна уебстраница. За целта той използва отдалечен браузър, стартиран чрез инструменти като noVNC – клиент, който позволява отдалечено управление на уеб браузър през VNC. Жертвата попада на фалшив сайт чрез зловредна реклама или линк в социалните мрежи, където й се показва уж автентичен прозорец за вход в дадена услуга (напр. Steam, Figma и др.).

Когато потребителят въведе своите данни, те се изпращат директно до сървъра на атакуващия, който впоследствие позволява реален достъп до акаунта, без жертвата да осъзнае, че е била измамена.

Как се използва Fullscreen API?

Fullscreen API е легитимен механизъм, използван от сайтовете за показване на съдържание на цял екран. Атакуващите използват тази функция, за да прикрият лентата с адреса и всички индикатори на браузъра, така че жертвата да не забележи, че е пренасочена към измамен сайт. Това прави фалшивия интерфейс още по-убедителен.

Според екипа на SquareX, проблемът при Safari е особено сериозен, защото Apple не предоставя ясно визуално предупреждение при преминаване в fullscreen режим. Докато браузъри като Chrome и Firefox показват известия, Safari разчита единствено на кратка анимация, която лесно може да остане незабелязана.

Реакция от страна на Apple

След като е информирана за уязвимостта, Apple е отговорила с “wontfix” – отказ да предприеме действия. Компанията счита, че текущото поведение (анимацията при преминаване в fullscreen) е достатъчно за потребителя да се ориентира. Това обаче противоречи на експертното мнение, че липсата на ясно предупреждение излага потребителите на значителен риск.

Защо е опасно?

• Браузърът не показва адресна лента или  индикатор, което прави невъзможно да се определи дали сайтът е легитимен.

• Традиционните защити не откриват атаката, тъй като тя не изисква експлоатиране на системни уязвимости – използва стандартни уеб функционалности.

• Потребителят може да предостави своите данни без подозрение, вярвайки, че е в реална сесия с доверен уебсайт.

Как да се предпазим?

• Използвайте браузъри с по-добри защитни механизми, като Chrome или Firefox, които предупреждават при преминаване във fullscreen.

• Проверявайте URL адресите, преди да въвеждате лични данни – особено при реклами и препратки от социални мрежи.

• Бъдете предпазливи при влизане в акаунти от непознати сайтове или рекламни линкове.

• Използвайте многофакторна автентикация (MFA), за да затрудните неоторизиран достъп до акаунти дори при откраднати пароли.