AiSiri网6月2日消息,近日,安全公司SquareX发布报告,揭示了一种名为“Browser in the Middle”(MITM)的全新钓鱼攻击方式,直指当下互联网安全的一大漏洞。
这项技术本质上属于中间人攻击的变种。核心在于伪造登录弹窗,诱导用户输入账号密码,从而实现信息窃取。手法简单粗暴,却防不胜防。
问题关键在于各大主流浏览器,包括Chrome、Edge和Safari,都存在设计上的“小瑕疵”。黑客盯上了Fullscreen API这个看似无害的接口,通过精心设计的“全屏”陷阱,巧妙地隐藏了真实的URL地址,大大提高了欺骗性。
SquareX的研究人员指出,目前各浏览器在Fullscreen API的使用规范上,留下了操作空间。黑客们钻了这个空子,在钓鱼弹窗中设置一个假的“登录”按钮。用户一旦点击,就会被悄悄切换到全屏模式,这就意味着要检查网址真伪,还得先退出全屏,操作门槛瞬间提升。
报告特别点名苹果的Safari浏览器,认为它的风险系数最高,原因在于Safari切换全屏时缺乏必要的提示信息。用户可能在不知不觉中交出了自己的账号密码。
虽说Chromium内核的浏览器(如Chrome、Edge)会有短暂的提示,但仅仅几秒钟的停留时间,对普通用户来说基本可以忽略不计。这种隐蔽性,让“Browser in the Middle”的攻击成功率大大提升。
