Apple’ın Safari Web tarayıcısındaki bir zayıflık, tehdit aktörlerinin, şüpheli olmayan kullanıcılardan hesap kimlik bilgilerini çalmak için ortada tam ekran tarayıcısı (BITM) tekniğinden yararlanmalarını sağlar.
Bir web sayfasındaki herhangi bir içeriğin tarayıcının tam ekran görüntüleme moduna girmesi için talimat veren tam ekran API’sını kötüye kullanarak, bilgisayar korsanları, korkulukları krom tabanlı tarayıcılarda daha az görünür hale getirmek ve kurbanları saldırgan kontrollü bir pencereye yazmaya yönelik kurbanları daha az görünür hale getirmek için kullanabilir.
Squarex araştırmacıları, bu tür kötü niyetli etkinliklerin kullanımını gözlemledi ve bu tür saldırıların Safari kullanıcıları için özellikle tehlikeli olduğunu söylüyor, çünkü Apple’ın tarayıcısı bir tarayıcı penceresi tam ekran moduna girdiğinde kullanıcıları düzgün bir şekilde uyaramıyor.
“Squarex’in araştırma ekibi, tarayıcının tam ekran API’sının, üst pencerenin adres çubuğunu kapsayan tam ekran bir Bitm penceresi görüntüleyerek bu kusurun ele alınması ve tam ekran Bitm saldırılarını özellikle ikna eden safari tarayıcılarına özgü bir sınırlamayı gözlemlemiştir.
Bitm Nasıl Çalışır?
Yaygın bir bitm saldırısı, kullanıcıları meşru bir giriş sayfası gösteren saldırgan kontrollü bir uzak tarayıcı ile etkileşime girmeye kandırmayı içerir. Bu, kurbanın oturumunun üstünde uzak bir tarayıcı açan açık kaynaklı bir VNC tarayıcı istemcisi olan NovNC gibi araçlarla elde edilir.
Kaynak: Squarex
Oturum açma işlemi saldırganın tarayıcısında gerçekleştiğinden, kimlik bilgileri toplanır, ancak kurban ayrıca hırsızlıktan habersiz hesaplarına başarıyla erişir.
Saldırı, kurbanı hala hedef hizmeti taklit eden sahte bir siteye yönlendiren kötü niyetli bir bağlantıyı tıklamaya kandırmayı gerektiriyor. Ancak, bu, web tarayıcılarında, sosyal medya yayınlarında veya yorumlarda sponsorlu reklamlar aracılığıyla kolayca elde edilebilir.
Kaynak: Squarex
Tam ekran aldatma
Kullanıcılar tarayıcı çubuğundaki şüpheli URL’yi kaçırırsa ve oturum aç düğmesine tıklarsa, BITM penceresi etkin olur. Tetiklenene kadar pencere, en az modda kurbandan gizli kaldı.
Kullanıcılar tarayıcı çubuğundaki şüpheli URL’yi kaçırırsa ve kurbandan en aza indirilmiş modda gizlenen Bitm penceresini etkinleştiren Oturum Aç düğmesine tıklayın.
Etkinleştirildikten sonra, saldırgan kontrollü tarayıcı penceresi tam ekran moduna girer ve sahte web sitesini kapsar ve kullanıcıya erişmek istedikleri meşru web sitesini gösterir.
EDRS veya SASE/SSE gibi güvenlik çözümleri, saldırı standart tarayıcı API’lerini kötüye kullandığı için bu gerçekleştiğinde herhangi bir uyarıyı tetiklemez.
Araştırmacılar, Firefox ve krom bazlı tarayıcıların (örneğin Chrome ve Edge) tam ekran aktif olduğunda bir uyarı gösterdiğini açıklar. Birçok kullanıcı uyarıyı kaçırsa da, yine de BITM saldırısı riskini düşüren bir korkuluktur.
Kaynak: Squarex
Bununla birlikte, Safari’de hiçbir uyarı yoktur ve tam ekran moduna giren bir tarayıcının tek işareti kolayca kaçırılabilen bir “kaydırma” animasyonudur.
Squarex araştırmacıları, “Saldırı tüm tarayıcılarda çalışırken, FullScreen Bitm saldırıları, tam ekran giderken net görsel ipuçlarının olmaması nedeniyle özellikle Safari tarayıcılarına ikna edici.” Diyor.
https://www.youtube.com/watch?v=9c4jrabg2cy
Squarex, bulgularıyla Apple ile temasa geçti ve bir “Wontfix” cevabı aldı, açıklama, animasyonun değişiklikleri belirtmek için mevcut olduğu ve bu yeterli olması gerektiğidir.
BleepingComputer da bir yorum için Apple’a ulaştı, ancak hala yanıtlarını bekliyoruz.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.