Верный сайт, верные данные, но чужой браузер — как мошенники дурят пользователей Safari
NewsMakerПочему ваш браузер стал сообщником хакеров и как это связано с полноэкранным режимом?
Исследователи компании SquareX выявили критическую уязвимость в браузере Apple Safari, которая делает пользователей особенно уязвимыми к новой форме атак с использованием технологии BitM — «браузер посередине». Речь идёт о злоупотреблении Fullscreen API, позволяющем злоумышленникам незаметно запускать поддельные окна входа в систему в полноэкранном режиме, полностью маскируя реальный адрес сайта.
Техника BitM строится на подмене взаимодействия: пользователь думает, что вводит данные на официальном сайте, но на деле работает с удалённым браузером, полностью контролируемым атакующим. Для этого может использоваться, например, noVNC — VNC-клиент на базе веб-браузера, позволяющий транслировать сессию удалённого браузера прямо в окно жертвы. Визуально всё выглядит правдоподобно, особенно если жертва попадает на поддельный сайт через рекламную ссылку или комментарий в соцсетях.
Отдельную опасность этот подход представляет для пользователей Safari. Если в Chrome и Firefox при переходе в полноэкранный режим появляется заметное предупреждение, то Safari ограничивается лёгкой анимацией — «свайпом», который легко пропустить. Это создаёт иллюзию безопасности и делает атаку более убедительной.
SquareX приводит пример атаки на пользователей Steam: в такой схеме поддельный сайт активирует окно BitM в фоне, а при попытке авторизации — разворачивает его в полноэкранном режиме, отображая настоящую страницу входа Steam. Пользователь вводит логин и пароль, попадает в свой аккаунт, даже не подозревая, что его сессия уже перехвачена.
Технически всё происходит в рамках допустимых сценариев браузера, поэтому стандартные средства защиты, включая решения класса EDR , SASE и SSE, не фиксируют никаких нарушений. Всё выглядит как обычная сессия, что особенно осложняет обнаружение атаки.
SquareX попыталась уведомить Apple о проблеме, но получила формальный отказ. Представители Apple ответили, что существующая анимация при переходе в полноэкранный режим «достаточна для информирования пользователя» и отказываться от такой модели не планируют. По состоянию на момент публикации, Apple не предоставила дополнительного комментария.
Эксперты предупреждают: несмотря на то, что атака потенциально применима ко всем браузерам, отсутствие заметных сигналов в Safari делает её гораздо более эффективной именно на устройствах Apple. Растущее число таких атак говорит о необходимости дополнительных мер — от внимательной проверки адресной строки до внедрения более жёстких визуальных ограничений при переходе в полноэкранный режим.
Исследователи компании SquareX выявили критическую уязвимость в браузере Apple Safari, которая делает пользователей особенно уязвимыми к новой форме атак с использованием технологии BitM — «браузер посередине». Речь идёт о злоупотреблении Fullscreen API, позволяющем злоумышленникам незаметно запускать поддельные окна входа в систему в полноэкранном режиме, полностью маскируя реальный адрес сайта.
Техника BitM строится на подмене взаимодействия: пользователь думает, что вводит данные на официальном сайте, но на деле работает с удалённым браузером, полностью контролируемым атакующим. Для этого может использоваться, например, noVNC — VNC-клиент на базе веб-браузера, позволяющий транслировать сессию удалённого браузера прямо в окно жертвы. Визуально всё выглядит правдоподобно, особенно если жертва попадает на поддельный сайт через рекламную ссылку или комментарий в соцсетях.
Отдельную опасность этот подход представляет для пользователей Safari. Если в Chrome и Firefox при переходе в полноэкранный режим появляется заметное предупреждение, то Safari ограничивается лёгкой анимацией — «свайпом», который легко пропустить. Это создаёт иллюзию безопасности и делает атаку более убедительной.
SquareX приводит пример атаки на пользователей Steam: в такой схеме поддельный сайт активирует окно BitM в фоне, а при попытке авторизации — разворачивает его в полноэкранном режиме, отображая настоящую страницу входа Steam. Пользователь вводит логин и пароль, попадает в свой аккаунт, даже не подозревая, что его сессия уже перехвачена.
Технически всё происходит в рамках допустимых сценариев браузера, поэтому стандартные средства защиты, включая решения класса EDR , SASE и SSE, не фиксируют никаких нарушений. Всё выглядит как обычная сессия, что особенно осложняет обнаружение атаки.
SquareX попыталась уведомить Apple о проблеме, но получила формальный отказ. Представители Apple ответили, что существующая анимация при переходе в полноэкранный режим «достаточна для информирования пользователя» и отказываться от такой модели не планируют. По состоянию на момент публикации, Apple не предоставила дополнительного комментария.
Эксперты предупреждают: несмотря на то, что атака потенциально применима ко всем браузерам, отсутствие заметных сигналов в Safari делает её гораздо более эффективной именно на устройствах Apple. Растущее число таких атак говорит о необходимости дополнительных мер — от внимательной проверки адресной строки до внедрения более жёстких визуальных ограничений при переходе в полноэкранный режим.