Kelemahan di Browser Web Safari Apple memungkinkan para aktor ancaman untuk memanfaatkan teknik browser-in-the-the-middle (BITM) layar penuh untuk mencuri kredensial akun dari pengguna yang tidak curiga.
Dengan menyalahgunakan API layar penuh, yang menginstruksikan konten apa pun di halaman web untuk memasuki mode tampilan layar penuh browser, peretas dapat mengeksploitasi kekurangan untuk membuat pagar kurang terlihat pada browser berbasis kromium dan menipu para korban menjadi mengetik data sensitif di jendela yang dikontrol oleh penyerang.
Peneliti Squarex mengamati peningkatan penggunaan jenis aktivitas jahat ini dan mengatakan bahwa serangan seperti itu sangat berbahaya bagi pengguna Safari, karena browser Apple gagal mengingatkan pengguna dengan baik ketika jendela browser memasuki mode layar penuh.
“Tim peneliti Squarex telah mengamati berbagai contoh API layar penuh browser yang dieksploitasi untuk mengatasi cacat ini dengan menampilkan jendela bitm layar penuh yang mencakup bilah alamat jendela induk, serta batasan khusus untuk browser safari yang membuat serangan bitm layar penuh terutama meyakinkan,” menjelaskan laporan tersebut.
Bagaimana bitm bekerja
Yang umum Serangan bitm Melibatkan penipu pengguna untuk berinteraksi dengan browser jarak jauh yang dikendalikan oleh penyerang yang menunjukkan halaman login yang sah. Ini dicapai melalui alat -alat seperti NovNC – klien browser VNC open -source, yang membuka browser jarak jauh di atas sesi korban.
Sumber: Squarex
Karena proses login terjadi di browser penyerang, kredensial dikumpulkan tetapi korban juga berhasil mengakses akun mereka yang tidak menyadari pencurian tersebut.
Serangan itu masih mengharuskan menipu korban untuk mengklik tautan berbahaya yang mengarahkan mereka ke situs palsu yang menyamar sebagai layanan target. Namun, ini dapat dengan mudah dicapai melalui iklan yang disponsori di browser web, posting media sosial, atau komentar.
Sumber: Squarex
Penipuan Layar Penuh
Jika pengguna melewatkan URL yang mencurigakan di bilah browser dan klik tombol login, jendela bitm menjadi aktif. Sampai dipicu, jendela tetap tersembunyi dari korban dalam mode yang diminimalkan.
Jika pengguna melewatkan URL yang mencurigakan di bilah browser dan klik tombol login, yang mengaktifkan jendela bitm yang disembunyikan dari korban dalam mode yang diminimalkan.
Setelah diaktifkan, jendela browser yang dikontrol penyerang memasuki mode layar penuh dan mencakup situs web palsu, menunjukkan kepada pengguna situs web sah yang ingin mereka akses.
Solusi keamanan seperti EDR atau SASE/SSE tidak akan memicu peringatan ketika ini terjadi, karena serangan itu menyalahgunakan API browser standar.
Para peneliti menjelaskan bahwa browser berbasis firefox dan kromium (misalnya krom dan tepi) menunjukkan peringatan setiap kali layar penuh aktif. Meskipun banyak pengguna mungkin kehilangan peringatan, itu masih merupakan pagar pembatas yang menurunkan risiko serangan bitm.
Sumber: Squarex
Namun, di Safari tidak ada peringatan dan satu -satunya tanda browser yang memasuki mode layar penuh adalah animasi “gesek” yang dapat dengan mudah dilewatkan.
“Sementara serangan itu bekerja pada semua browser, serangan bitm layar penuh sangat meyakinkan pada browser Safari karena kurangnya isyarat visual yang jelas ketika pergi layar penuh,” kata para peneliti Squarex.
Squarex menghubungi Apple dengan temuannya dan menerima balasan “wontfix”, penjelasan yang diterima adalah bahwa animasi hadir untuk menunjukkan perubahan, dan itu sudah cukup.
BleepingComputer juga telah menghubungi Apple untuk berkomentar, tetapi kami masih menunggu tanggapan mereka.
