6 月 2 日消息，安全公司發文披露了一種名為“Browser in the Middle”的新型釣魚攻擊手法，能讓黑客在暗中竊取用戶的賬號密碼等敏感信息。

據介紹，“Browser in the Middle”屬于中間人攻擊的一種，也就是虛假的彈窗登錄頁（黑客山寨 Steam 等網站的登錄頁面，欺騙用戶自己輸入賬號密碼），目前業界主流的 Chrome、Edge、Safari 瀏覽器都存在設計缺陷，黑客可以利用瀏覽器的 Fullscreen API，將相應彈窗登錄頁設置為“全屏顯示”，這樣就能隱藏 URL，大大降低被用戶發現的幾率。

研究人員指出，目前各大瀏覽器的 Fullscreen API 并未明確規定第三方網站該如何觸發全屏，因此黑客可以在相應釣魚彈窗中加入一個假的“登錄”按鈕，用戶點擊后就會被偷偷切換到全屏，進而降低用戶關閉全屏查看核對 URL 的概率。

研究人員同時表示，蘋果 Safari 瀏覽器風險最高，這是因為 Safari 在切換到網頁全屏模式時不會顯示任何提示。而基于 Chromium 內核的瀏覽器（如谷歌 Chrome、微軟 Edge）雖然會彈出提示，但也只會短暫顯示幾秒，用戶難以注意到。

本公眾號發布的文章均轉載自互聯網或經作者投稿授權的原創，文末注有出處，其內容及圖片版權均屬于原網站或作者本人，本公眾號對此不持立場，若有無意侵權或轉載不當之處請聯系我們處理！文章來源：IT之家

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:互聯網

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明