Một lỗ hổng bảo mật đáng lo ngại trong chức năng Fullscreen API của trình duyệt Safari đang mở đường cho các cuộc tấn công lừa đảo (phishing) tinh vi, có khả năng khiến người dùng mất trắng thông tin đăng nhập và các dữ liệu nhạy cảm khác. Điều đáng nói hơn, theo các nhà nghiên cứu, Apple dường như không coi đây là một vấn đề cần ưu tiên khắc phục.
Trình duyệt Safari tồn tại lỗi bảo mật đáng lo ngại.
Các chuyên gia từ công ty an ninh mạng SquareX mới đây đã lên tiếng cảnh báo về sự gia tăng của một loại tấn công lợi dụng lỗ hổng này, sử dụng kỹ thuật "Browser-in-the-Middle" (BitM). Cụ thể, kẻ tấn công lừa người dùng tương tác với một trình duyệt giả mạo do chúng kiểm soát. Khi trình duyệt này được chuyển sang chế độ toàn màn hình trên Safari, các yếu tố giao diện quan trọng như thanh địa chỉ và các cảnh báo hệ thống sẽ bị ẩn đi. Điều này khiến nạn nhân rất khó nhận biết mình đang ở trên một trang web lừa đảo, và vô tư nhập thông tin đăng nhập, mã xác thực hai yếu tố (2FA), hay cookie xác thực, tất cả đều rơi vào tay hacker.
Điểm yếu "chí mạng" của Safari, theo SquareX, chính là việc thiếu các cảnh báo trực quan rõ ràng khi một cửa sổ chuyển sang chế độ toàn màn hình. Trong khi các trình duyệt phổ biến khác như Google Chrome (và các trình duyệt dựa trên Chromium) hay Mozilla Firefox đều hiển thị thông báo rõ ràng, Safari chỉ cung cấp một "hiệu ứng vuốt" khá mờ nhạt, dễ dàng bị người dùng bỏ qua. Điều này khiến các cuộc tấn công BitM trên Safari trở nên thuyết phục và nguy hiểm hơn.
Sau khi phát hiện và quan sát nhiều trường hợp khai thác lỗ hổng này, SquareX đã thông báo vấn đề cho Apple. Tuy nhiên, phản hồi từ phía công ty được cho là họ đã quyết định không theo đuổi vụ việc này thêm, vì cho rằng hoạt ảnh vuốt hiện có đã là một tín hiệu đủ để cảnh báo người dùng.
Quyết định này của Apple đang gây ra nhiều tranh cãi và lo ngại trong cộng đồng bảo mật. Với việc lỗ hổng không được vá, người dùng Safari có nguy cơ cao trở thành mục tiêu của các chiến dịch lừa đảo ngày càng tinh vi. Các chuyên gia khuyến cáo người dùng Safari cần hết sức cảnh giác khi một trang web yêu cầu quyền truy cập chế độ toàn màn hình, đặc biệt nếu sau đó xuất hiện các yêu cầu đăng nhập hoặc cung cấp thông tin nhạy cảm. Việc kiểm tra kỹ lưỡng và nhận biết các dấu hiệu bất thường là vô cùng quan trọng để tự bảo vệ mình.
