Хакеры используют уязвимость Safari для обмана через полноэкранные поддельные страницы входа

Команда исследователей из SquareX выявила тревожную схему атак, нацеленную на пользователей Safari. Уязвимость связана с применением технологии BitM (browser-in-the-middle), при которой злоумышленники запускают поддельные окна авторизации в полноэкранном режиме, скрывая настоящие элементы интерфейса браузера.

Основой атаки служит API Fullscreen. С его помощью вредоносный сайт принудительно переводит страницу в полноэкранный режим. На устройствах с браузером Safari при этом отсутствуют визуальные индикаторы, предупреждающие о смене формата отображения. Это создаёт иллюзию подлинности и позволяет мошенникам подменить привычную страницу входа на свою копию. Как пояснили специалисты SquareX, именно такая особенность делает Safari особенно уязвимым к данному методу обмана.

Механизм подделки построен на технологии удалённого доступа. Сценарий атаки подразумевает использование инструмента noVNC, позволяющего запускать удалённый браузер прямо в окне пользователя. Жертва видит знакомую форму входа, вводит логин и пароль, не подозревая, что на самом деле взаимодействует с системой злоумышленника. Более того, сразу после ввода данных пользователь действительно получает доступ к своей учётной записи, что исключает подозрения и оставляет атаку незамеченной.

Особое внимание эксперты уделили тому, как вредоносная активность маскируется. До момента активации окно BitM не отображается на экране — оно «свёрнуто» и не мешает жертве. После клика по фейковой кнопке входа скрытое окно разворачивается и занимает весь экран. Адресная строка исчезает, а внешний вид страницы полностью повторяет оригинальный сайт. Такой уровень обмана достигается за счёт визуальной подмены и отсутствия системных предупреждений со стороны Safari.

Предварительным этапом атаки остаётся перенаправление пользователя на поддельную страницу. Для этого используются подложные рекламные баннеры, ссылки в соцсетях и подозрительные комментарии. Как подчёркивают исследователи SquareX, это позволяет злоумышленникам запускать масштабные фишинговые кампании, не требующие глубоких технических знаний от жертвы.

Специалисты напоминают о необходимости внимательно проверять URL в строке браузера, даже если сайт выглядит привычно. В случае Safari отсутствие навигационных элементов на полноэкранной странице должно насторожить. В условиях, когда браузер не сигнализирует о смене формата, такие приёмы создают идеальную среду для похищения персональных данных.