近日，網(wǎng)絡(luò)安全專家團(tuán)隊(duì)SquareX披露了一項(xiàng)針對(duì)蘋果Safari瀏覽器的重大安全威脅。據(jù)該團(tuán)隊(duì)透露，一種名為“全屏中間人瀏覽器”（BitM）的技術(shù)可能被黑客利用，以竊取用戶的賬號(hào)密碼。

SquareX詳細(xì)闡述了BitM攻擊的工作原理。攻擊者通過(guò)誘導(dǎo)用戶點(diǎn)擊惡意鏈接，將用戶重定向至仿冒的目標(biāo)服務(wù)網(wǎng)站。隨后，利用諸如noVNC等開源工具，在受害者的會(huì)話上疊加一個(gè)遠(yuǎn)程瀏覽器，展示如Steam等真實(shí)的登錄頁(yè)面。用戶在不知情的情況下輸入賬號(hào)密碼，這些信息便直接落入攻擊者手中。

這種攻擊手段極具欺騙性，攻擊者常通過(guò)瀏覽器廣告、社交媒體帖子或評(píng)論等方式散布虛假鏈接。例如，偽裝成Figma的網(wǎng)站，便能輕松誘騙用戶點(diǎn)擊。一旦用戶忽略了地址欄中的可疑URL并點(diǎn)擊登錄，隱藏的BitM窗口隨即被激活，進(jìn)入全屏模式，覆蓋仿冒網(wǎng)站，顯示用戶原本意圖訪問(wèn)的合法頁(yè)面。

SquareX指出，Safari瀏覽器在全屏模式激活時(shí)，僅通過(guò)不易察覺(jué)的“滑動(dòng)”動(dòng)畫提示用戶，這使得攻擊極具說(shuō)服力且難以被察覺(jué)。相比之下，F(xiàn)irefox和Chromium系瀏覽器（如Chrome和Edge）在全屏模式激活時(shí)會(huì)顯示明顯的提示，盡管用戶可能忽略，但仍具有一定的防護(hù)作用。

SquareX研究團(tuán)隊(duì)已將這一安全漏洞報(bào)告給蘋果公司，但遺憾的是，他們收到了“不予修復(fù)”的回復(fù)。蘋果認(rèn)為現(xiàn)有的動(dòng)畫提示已足夠提示用戶界面的變化。然而，SquareX團(tuán)隊(duì)強(qiáng)調(diào)，Safari上缺乏清晰的視覺(jué)提示，使得全屏BitM攻擊極具隱蔽性，安全隱患不容忽視。

為了進(jìn)一步說(shuō)明問(wèn)題，SquareX還提供了演示視頻，展示了攻擊的全過(guò)程。視頻中，當(dāng)用戶點(diǎn)擊登錄按鈕時(shí)，隱藏的BitM窗口迅速進(jìn)入全屏模式，覆蓋仿冒網(wǎng)站，顯示用戶原本想訪問(wèn)的頁(yè)面，整個(gè)過(guò)程流暢且難以察覺(jué)。

SquareX團(tuán)隊(duì)呼吁蘋果重新審視這一安全問(wèn)題，并采取必要的措施來(lái)增強(qiáng)Safari瀏覽器的安全防護(hù)能力。同時(shí)，也提醒廣大用戶保持警惕，避免點(diǎn)擊不明鏈接，確保個(gè)人信息安全。