Uma vulnerabilidade no navegador da web Safari da Apple permite que atores de ameaças utilizem a técnica de fullscreen browser-in-the-middle (BitM) para roubar credenciais de contas de usuários desavisados.
Ao abusar da Fullscreen API, que instrui qualquer conteúdo em uma página da web a entrar no modo de visualização em tela cheia do navegador, hackers podem explorar essa falha para tornar menos visíveis as proteções em navegadores baseados em Chromium e enganar as vítimas ao digitarem dados sensíveis em uma janela controlada pelo atacante.
Pesquisadores da SquareX observaram um aumento no uso desse tipo de atividade maliciosa e dizem que tais ataques são particularmente perigosos para os usuários do Safari, já que o navegador da Apple não alerta adequadamente os usuários quando uma janela do navegador entra em modo de tela cheia.
“A equipe de pesquisa da SquareX observou múltiplas instâncias da Fullscreen API do navegador sendo exploradas para aproveitar essa falha ao exibir uma janela BitM em tela cheia que cobre a barra de endereços da janela mãe, assim como uma limitação específica dos navegadores Safari que torna os ataques BitM em tela cheia especialmente convincentes”, descreve o relatório.
Um ataque BitM comum envolve enganar os usuários para interagirem com um navegador remoto controlado pelo atacante que mostra uma página legítima de login.
Isso é alcançado por meio de ferramentas como noVNC - um cliente de navegador VNC de código aberto, que abre um navegador remoto sobre a sessão da vítima.
Já que o processo de login acontece no navegador do atacante, as credenciais são coletadas, mas a vítima também acessa sua conta sem estar ciente do roubo.
O ataque ainda requer enganar a vítima para clicar em um link malicioso que a redireciona para um site falso que se passa pelo serviço alvo.
No entanto, isso pode ser facilmente alcançado por meio de anúncios patrocinados em navegadores web, publicações em mídias sociais ou comentários.
Se os usuários não percebem a URL suspeita na barra do navegador e clicam no botão de login, a janela BitM se torna ativa.
Até ser acionada, a janela permaneceu escondida da vítima em modo minimizado.
Uma vez ativada, a janela do navegador controlada pelo atacante entra em modo de tela cheia e cobre o site falso, mostrando ao usuário o site legítimo que desejavam acessar.
Soluções de segurança como EDRs ou SASE/SSE não acionarão nenhum alerta quando isso acontecer, já que o ataque abusa das APIs padrão do navegador.
Os pesquisadores explicam que Firefox e navegadores baseados em Chromium (ex.: Chrome e Edge) mostram um alerta sempre que o modo tela cheia está ativo.
Embora muitos usuários possam não notar o aviso, ainda é uma proteção que diminui o risco de um ataque BitM.
No entanto, no Safari, não há alerta, e o único sinal de que um navegador entrou em modo de tela cheia é uma animação de “deslize” que pode ser facilmente ignorada.
"Embora o ataque funcione em todos os navegadores, os ataques BitM em tela cheia são particularmente convincentes nos navegadores Safari devido à falta de sinais visuais claros ao entrar em modo de tela cheia", dizem os pesquisadores da SquareX.
A SquareX entrou em contato com a Apple com suas descobertas e recebeu uma resposta de “wontfix”, sendo a explicação recebida que a animação está presente para indicar mudanças, e isso deveria ser suficiente.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...