Vulnerability in Apple Safari’s Fullscreen API: A Growing Concern for Online Security
Stručnjaci su upozorili na nedostatak u Fullscreen API-ju pregledača Apple Safari, koji omogućuje web programerima da prikazuju određene elemente u način ekrana. Ova ranjivost se koristi u sofisticiranim napadima za krađu lozinki, a istraživači sigurnosti iz SquareX-a primijetili su porast ove vrste napada koji koristi tehniku poznatu kao browser-in-the-middle (Bitm).
Kako Funkcionira Bitm Tehnika?
Žrtve se često obmanjuju kako bi interagirale s udaljenim preglednikom koji je pod kontrolom napadača. Budući da je taj preglednik u punom ekranu, korisničko sučelje (UI) i sustavni elementi su skriveni, što otežava prepoznavanje napada. Kao rezultat, žrtve se prijavljuju na različite račune u udaljenom pregledniku misleći da to rade na svom vlastitom uređaju. Iako se i dalje prijavljuju, taj postupak se zapravo odvija na napadačevoj mašini, što omogućava prikupljanje prijavnih podataka, kolačića za autentifikaciju i drugih osjetljivih informacija.
Uočena Manipulacija: Što Istraživači Kažu?
Tim istraživača iz SquareX-a primijetio je više primjera zloupotrebe Fullscreen API-ja, gdje se koristi fullscreen BitM prozor koji pokriva adresnu traku glavnog prozora. “Ograničenja specifična za Safari preglednike” koja su istraživači spomenuli odnose se na obavijesti, jer Appleov preglednik navodno ne upozorava pravilno korisnike kada prozor preglednika prelazi u način punog ekrana. Suprotno tome, konkurentski preglednici, poput onih temeljenih na Chromium-u ili Firefox-u, pokazuju upozorenje svaki put kada je aktivan način punog ekrana. Iako korisnici mogu i dalje propustiti ova upozorenja, šanse su mnogo manje u usporedbi sa Safarijem, gdje nema takvog upozorenja.
Izvještaj i Odgovor Apple-a
Umjesto tog jasnog upozorenja, jedini signal je animacija prevlačenja koja, prema tvrdnjama istraživača, može lako proći neprimijećena. “Iako napad funkcionira na svim preglednicima, fullscreen BiTM napadi su osobito uvjerljivi na Safari preglednicima zbog nedostatka jasnih vizualnih signala prilikom prelaska u pun ekran,” zaključili su iz SquareX-a. Također su napomenuli da su kontaktirali Apple, koji je odlučio ne poduzimati daljnje mjere – jer je animacija očigledno dovoljna signalizacija.
Zaključak
Ova ranjivost u Fullscreen API-ju Apple Safari preglednika naglašava potrebu za većom svješću o sigurnosnim rizicima koji postoje prilikom prijave na različite online račune. Korisnici trebaju biti oprezni i razviti navike koje će im pomoći da prepoznaju potencijalne napade. Dok se Apple suočava s ovom situacijom, važno je ostati informiran i zaštititi svoje podatke.
