Safari瀏覽器存漏洞：BitM技術能悄無聲息盜取用戶賬號密碼？

近日，網絡安全專家團隊SquareX披露了一項針對蘋果Safari瀏覽器的重大安全威脅。據該團隊透露，一種名為“全屏中間人瀏覽器”（BitM）的技術可能被黑客利用，以竊取用戶的賬號密碼。

SquareX詳細闡述了BitM攻擊的工作原理。攻擊者通過誘導用戶點擊惡意鏈接，將用戶重定向至仿冒的目標服務網站。隨后，利用諸如noVNC等開源工具，在受害者的會話上疊加一個遠程瀏覽器，展示如Steam等真實的登錄頁面。用戶在不知情的情況下輸入賬號密碼，這些信息便直接落入攻擊者手中。

這種攻擊手段極具欺騙性，攻擊者常通過瀏覽器廣告、社交媒體帖子或評論等方式散布虛假鏈接。例如，偽裝成Figma的網站，便能輕松誘騙用戶點擊。一旦用戶忽略了地址欄中的可疑URL并點擊登錄，隱藏的BitM窗口隨即被激活，進入全屏模式，覆蓋仿冒網站，顯示用戶原本意圖訪問的合法頁面。

SquareX指出，Safari瀏覽器在全屏模式激活時，僅通過不易察覺的“滑動”動畫提示用戶，這使得攻擊極具說服力且難以被察覺。相比之下，Firefox和Chromium系瀏覽器（如Chrome和Edge）在全屏模式激活時會顯示明顯的提示，盡管用戶可能忽略，但仍具有一定的防護作用。

SquareX研究團隊已將這一安全漏洞報告給蘋果公司，但遺憾的是，他們收到了“不予修復”的回復。蘋果認為現有的動畫提示已足夠提示用戶界面的變化。然而，SquareX團隊強調，Safari上缺乏清晰的視覺提示，使得全屏BitM攻擊極具隱蔽性，安全隱患不容忽視。

為了進一步說明問題，SquareX還提供了演示視頻，展示了攻擊的全過程。視頻中，當用戶點擊登錄按鈕時，隱藏的BitM窗口迅速進入全屏模式，覆蓋仿冒網站，顯示用戶原本想訪問的頁面，整個過程流暢且難以察覺。

SquareX團隊呼吁蘋果重新審視這一安全問題，并采取必要的措施來增強Safari瀏覽器的安全防護能力。同時，也提醒廣大用戶保持警惕，避免點擊不明鏈接，確保個人信息安全。