Vulnerabilidade no Apple Safari permite ataques de Browser-in-the-Middle em tela cheia via exploração do Fullscreen API

Uma vulnerabilidade no navegador Safari da Apple permite que hackers utilizem a técnica de ataque "Browser-in-the-Middle" (BitM) em tela cheia para roubar credenciais de contas de usuários desavisados. A falha, identificada pela equipe de pesquisa da SquareX, explora o Fullscreen API, uma funcionalidade que permite que qualquer conteúdo em uma página web entre no modo de visualização em tela cheia do navegador. No Safari, a ausência de alertas claros quando o modo de tela cheia é ativado torna os usuários particularmente suscetíveis a esse tipo de ataque, que pode enganar vítimas, levando-as a inserir dados sensíveis, como senhas, em uma janela controlada por hackers.

Os ataques BitM envolvem a manipulação de um navegador remoto controlado pelo invasor, que exibe uma página de login legítima sobreposta à sessão do usuário. Ferramentas como o noVNC, um cliente VNC de código aberto, são usadas para abrir esse navegador remoto, que captura as credenciais inseridas sem que a vítima perceba, já que o login no serviço legítimo ocorre normalmente. Para iniciar o ataque, o hacker precisa induzir a vítima a clicar em um link malicioso, que pode ser distribuído por meio de anúncios patrocinados, postagens em redes sociais ou comentários em plataformas online. Esses links redirecionam o usuário para um site falso que imita o serviço desejado, explorando a confiança da vítima.

No Safari, o ataque se torna ainda mais perigoso devido à falta de notificações visuais claras. Em navegadores baseados em Chromium, como Google Chrome e Microsoft Edge, ou no Firefox, um alerta é exibido quando o modo de tela cheia é ativado, funcionando como uma barreira de segurança, mesmo que muitos usuários o ignorem. No entanto, no Safari, o único indicativo é uma sutil animação de "swipe" (deslize), que pode passar despercebida. Quando a vítima clica em um botão de login em um site falso, a janela BitM, previamente oculta em modo minimizado, entra em tela cheia, cobrindo o site malicioso e exibindo a página legítima. Isso cria uma ilusão convincente de que o usuário está interagindo com o serviço original.

A SquareX destacou que soluções de segurança como EDR (Endpoint Detection and Response) ou plataformas SASE/SSE (Secure Access Service Edge/Security Service Edge) não detectam esses ataques, já que eles exploram APIs padrão do navegador, não acionando alertas de comportamento suspeito. A empresa entrou em contato com a Apple para relatar a vulnerabilidade, mas recebeu uma resposta de "wontfix" (não será corrigido), com a justificativa de que a animação de transição já seria suficiente para indicar a mudança para o modo de tela cheia. Especialistas alertam que essa decisão aumenta os riscos para os usuários do Safari, especialmente em cenários onde a engenharia social é usada para distribuir links maliciosos.

A crescente utilização de ataques BitM em tela cheia, observada pela SquareX, reforça a necessidade de maior conscientização dos usuários sobre os riscos de clicar em links suspeitos e a importância de verificar a legitimidade das URLs. A recomendação é que os usuários do Safari sejam especialmente cautelosos, verificando a barra de endereços antes de inserir credenciais e considerando o uso de navegadores alternativos com alertas mais robustos até que a Apple implemente melhorias na interface do Safari.

Via - BC