Уязвимость Fullscreen BitM в Safari: кража данных через API

Исследователи из SquareX обнаружили новую атаку под названием Fullscreen BitM, которая эксплуатирует уязвимости в API полноэкранного режима браузеров. Основная цель атаки — кража учетных данных пользователей Safari.

Fullscreen BitM — это разновидность Browser-in-the-Middle (BitM) атак, где злоумышленники используют удаленный браузер для обмана жертв. В данном случае атака запускается через всплывающее окно, которое имитирует легитимную страницу входа в корпоративное SaaS-приложение. Пользователь вводит свои данные, думая, что взаимодействует с настоящим сервисом.

Особенность Fullscreen BitM заключается в использовании API полноэкранного режима. В Safari нет четкого визуального индикатора перехода в этот режим, что делает атаку особенно скрытной. Злоумышленники могут замаскировать кнопку, которая при клике активирует полноэкранный режим, скрывая URL родительского окна.

Почему Safari уязвим

В отличие от Chrome, Firefox и Edge, Safari не отображает уведомление при переходе в полноэкранный режим. Это позволяет атаке оставаться незамеченной. Даже в других браузерах уведомление может быть едва заметным, особенно если злоумышленник использует темные темы.

Последствия

Помимо кражи учетных данных, Fullscreen BitM может использоваться для:

• Распространения дезинформации через поддельные правительственные ресурсы.
• Сбора персональных и корпоративных данных.
• Мониторинга активности пользователя в браузере.

Защита

Традиционные решения, такие как EDR и SASE/SSE, неэффективны против Fullscreen BitM, так как не имеют доступа к данным браузера. SquareX рекомендует внедрять специализированные инструменты для защиты от подобных атак.

Подробнее об исследовании можно узнать на сайте SquareX. Компания также проведет вебинар 5 июня, где подробно разберет механизм атаки.

SquareX продолжает изучать уязвимости браузеров в рамках проекта Year of Browser Bugs.