小心全屏“障眼法”！苹果浏览器曝BitM攻击漏洞，登录凭证面临失窃风险！

原创 Hankzheng 技术修道场 2025-06-03 09:34

近期，网络安全研究机构SquareX披露，苹果Safari浏览器存在一个安全薄弱点，可被黑客利用发起一种极具欺骗性的“全屏浏览器中的中间人”（Fullscreen Browser-in-the-Middle, BitM）攻击，使用户在不知不觉中将账户凭证泄露给攻击者。

“全屏BitM”攻击：隐蔽的“画中画”式欺诈

此类攻击的核心在于攻击者滥用浏览器的“Fullscreen API”（全屏应用程序接口）。攻击者通常会利用noVNC
（一款开源VNC客户端，VNC即虚拟网络计算，允许远程查看并控制另一台计算机桌面）等工具，在受害者当前浏览会话之上运行一个由其远程控制的浏览器实例。该实例如同一个“屏幕内嵌画中画”，用于后续的欺骗操作。

Safari的“软肋”：全屏切换提示不足，为攻击者“敞开大门”

SquareX的报告特别指出，全屏BitM攻击对Safari用户威胁尤甚。不同于Firefox或Chrome等主流浏览器在网页请求进入全屏模式时会显示明确且通常持续的警告，Safari浏览器在处理全屏切换时，仅有一个非常短暂且极易被忽略的“轻扫”动画。攻击者正是“滥用”Fullscreen API，并巧妙结合Safari此特性，使得全屏攻击在Safari上尤为奏效且难以察觉。

攻击流程深度解析：四步让您“眼见非实”

1. 恶意链接散播
   攻击通常始于诱骗用户点击恶意链接（源自赞助广告、社交媒体帖子、钓鱼邮件等），将用户导向一个仿冒的虚假网站。

2. “影子浏览器”待命
   用户访问虚假网站时，一个预先加载了真实目标服务网站、由攻击者控制的远程浏览器窗口，已通过恶意脚本在后台以最小化或隐藏方式悄然待命。

3. 点击触发，“画风突变”
   当用户在虚假网站上点击“登录”等关键按钮时，恶意脚本会立即被触发，如同导演切换镜头一般，让那个隐藏的、已连接至真实网站的远程浏览器窗口调用Fullscreen API，瞬间进入全屏模式。

4. 真实界面下的凭证窃取
   这个由攻击者掌控的远程浏览器（现在已全屏）会完美覆盖原虚假网站界面，直接展示真实的网站登录页（实为远程浏览器的“投屏”）。用户在此“真实”界面输入凭证，信息直接在攻击者的远程浏览器中被截获。由于后续操作（如成功登录）可能与正常流程无异，用户往往对凭证失窃毫无察觉。

传统安全工具为何可能“失灵”？

此类攻击巧妙滥用浏览器标准API，未直接植入传统恶意软件，因此EDR、SASE/SSE等安全解决方案可能不触发告警。

苹果公司的回应：“wontfix”及其影响

据SquareX透露，苹果公司在收到通报后答复“wontfix
”（不予修复），认为Safari的切换动画已是足够提示。这一决定意味着，Safari用户短期内无法期待官方更新来弥补全屏提示的不足，防范重担更多落在了用户自身的警惕性上。

Safari用户防御指南：面对“隐形”威胁如何应对

鉴于当前情况，Safari用户需采取更为主动的防御姿态：
1. 强化链接来源审查
对任何可疑链接，尤其是来自非官方渠道或引导至登录页面的链接，务必严格审查。

1. 培养“怀疑一切”的登录习惯
   任何时候被要求输入凭证，都应先自问：“我为何会在这里输入密码？”确保操作的上下文清晰且符合预期。

2. 警惕异常全屏行为与尝试退出
   在Safari中进行敏感操作（如登录、支付）前，有意识地观察屏幕是否有不易察觉的“轻扫”动画。如有可能，尝试按下“ESC”键
   ，看是否能退出潜在的全屏模式，这可作为辅助判断手段。

3. 优先使用官方App
   对于银行、重要邮箱等高价值账户，若其提供官方独立App，强烈建议优先使用App而非浏览器登录操作，App通常更安全。

4. 关注地址栏与证书（在非全屏或可疑时）
   在任何怀疑或进行敏感操作前，若可能，尝试按ESC键退出全屏模式后，仔细检查浏览器地址栏的URL是否完全正确，以及SSL证书是否有效且属于目标机构。

警惕利用软件“特性”的新型攻击

此次Safari全屏BitM攻击事件，不仅是单一浏览器的安全问题，更揭示了一个值得关注的攻击趋势：网络攻击者正从以往单纯利用软件代码层面的“BUG”（漏洞），转向更隐蔽地利用软件“特性”（Feature）或其设计边界（Design Limitation）来策划攻击。
这种“特性滥用”型攻击往往更难通过传统补丁方式修复，对用户的安全意识和行为习惯提出了更高要求。