聲明：該文章來自（快科技）版權(quán)由原作者所有，K2OS渲染引擎提供網(wǎng)頁加速服務(wù)。

近日，安全公司SquareX發(fā)文披露了一種名為“Browser in the Middle”的新型釣魚攻擊手法，能讓黑客在暗中竊取用戶的賬號密碼等敏感信息。

據(jù)介紹，“Browser in the Middle”屬于中間人攻擊的一種，該手法通過偽造彈窗登錄頁，誘使用戶輸入賬號密碼，從而竊取敏感信息。

目前業(yè)界主流的Chrome、Edge、Safari瀏覽器都存在設(shè)計缺陷，黑客可以利用瀏覽器的Fullscreen API，將相應(yīng)彈窗登錄頁設(shè)置為“全屏顯示”，這樣就能隱藏URL，增加欺騙性。

研究人員指出，目前各大瀏覽器的Fullscreen API并未明確規(guī)定第三方網(wǎng)站該如何觸發(fā)全屏，因此黑客可以在相應(yīng)釣魚彈窗中加入一個假的“登錄”按鈕。

用戶在點擊后就會被偷偷切換到全屏，進(jìn)而降低用戶關(guān)閉全屏查看核對URL的概率。

研究人員還指出，蘋果Safari瀏覽器風(fēng)險最高，因其全屏切換無提示。

而Chromium內(nèi)核瀏覽器（如Chrome、Edge）雖有短暫提示，但也只會短暫顯示幾秒，用戶難以注意到。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/