6 月 2 日消息，安全公司發(fā)文披露了一種名為“Browser in the Middle”的新型釣魚攻擊手法，能讓黑客在暗中竊取用戶的賬號(hào)密碼等敏感信息。

據(jù)介紹，“Browser in the Middle”屬于中間人攻擊的一種，也就是虛假的彈窗登錄頁(yè)（黑客山寨 Steam 等網(wǎng)站的登錄頁(yè)面，欺騙用戶自己輸入賬號(hào)密碼），目前業(yè)界主流的 Chrome、Edge、Safari 瀏覽器都存在設(shè)計(jì)缺陷，黑客可以利用瀏覽器的 Fullscreen API，將相應(yīng)彈窗登錄頁(yè)設(shè)置為“全屏顯示”，這樣就能隱藏 URL，大大降低被用戶發(fā)現(xiàn)的幾率。

研究人員指出，目前各大瀏覽器的 Fullscreen API 并未明確規(guī)定第三方網(wǎng)站該如何觸發(fā)全屏，因此黑客可以在相應(yīng)釣魚彈窗中加入一個(gè)假的“登錄”按鈕，用戶點(diǎn)擊后就會(huì)被偷偷切換到全屏，進(jìn)而降低用戶關(guān)閉全屏查看核對(duì) URL 的概率。

研究人員同時(shí)表示，蘋果 Safari 瀏覽器風(fēng)險(xiǎn)最高，這是因?yàn)?Safari 在切換到網(wǎng)頁(yè)全屏模式時(shí)不會(huì)顯示任何提示。而基于 Chromium 內(nèi)核的瀏覽器（如谷歌 Chrome、微軟 Edge）雖然會(huì)彈出提示，但也只會(huì)短暫顯示幾秒，用戶難以注意到。

本公眾號(hào)發(fā)布的文章均轉(zhuǎn)載自互聯(lián)網(wǎng)或經(jīng)作者投稿授權(quán)的原創(chuàng)，文末注有出處，其內(nèi)容及圖片版權(quán)均屬于原網(wǎng)站或作者本人，本公眾號(hào)對(duì)此不持立場(chǎng)，若有無(wú)意侵權(quán)或轉(zhuǎn)載不當(dāng)之處請(qǐng)聯(lián)系我們處理！文章來源：IT之家

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明