6 月 2 日消息，安全公司發(fā)文披露了一種名為“Browser in the Middle”的新型釣魚攻擊手法，能讓黑客在暗中竊取用戶的賬號密碼等敏感信息。

據(jù)介紹，“Browser in the Middle”屬于中間人攻擊的一種，也就是虛假的彈窗登錄頁（黑客山寨 Steam 等網(wǎng)站的登錄頁面，欺騙用戶自己輸入賬號密碼），目前業(yè)界主流的 Chrome、Edge、Safari 瀏覽器都存在設(shè)計缺陷，黑客可以利用瀏覽器的 Fullscreen API，將相應(yīng)彈窗登錄頁設(shè)置為“全屏顯示”，這樣就能隱藏 URL，大大降低被用戶發(fā)現(xiàn)的幾率。

研究人員指出，目前各大瀏覽器的 Fullscreen API 并未明確規(guī)定第三方網(wǎng)站該如何觸發(fā)全屏，因此黑客可以在相應(yīng)釣魚彈窗中加入一個假的“登錄”按鈕，用戶點(diǎn)擊后就會被偷偷切換到全屏，進(jìn)而降低用戶關(guān)閉全屏查看核對 URL 的概率。

研究人員同時表示，蘋果 Safari 瀏覽器風(fēng)險最高，這是因為 Safari 在切換到網(wǎng)頁全屏模式時不會顯示任何提示。而基于 Chromium 內(nèi)核的瀏覽器（如谷歌 Chrome、微軟 Edge）雖然會彈出提示，但也只會短暫顯示幾秒，用戶難以注意到。

本公眾號發(fā)布的文章均轉(zhuǎn)載自互聯(lián)網(wǎng)或經(jīng)作者投稿授權(quán)的原創(chuàng)，文末注有出處，其內(nèi)容及圖片版權(quán)均屬于原網(wǎng)站或作者本人，本公眾號對此不持立場，若有無意侵權(quán)或轉(zhuǎn)載不當(dāng)之處請聯(lián)系我們處理！文章來源：IT之家

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明