图片来源:
SquareX
资安业者SquareX揭露新的Browser in the Middle(BitM)攻击手法,可让骇客暗中窃取用户帐密或其他资料。主要浏览器Chrome、Edge、Safari的设计使其用户皆可能受害。
BitM是中间人攻击的一种,攻击者在受害者浏览器中内嵌一个浏览器视窗(通常是iFrame或弹出视窗)。此类视窗通常会伪装成登入页,让用户以为自己在合法网站或SaaS App,并输入敏感帐号资讯,浑然不知自己在与攻击者控制的视窗互动,该浏览器视窗元件为远端浏览器,可将用户敏感资讯送到攻击者设立的恶意proxy网站,再由其转送到目的地网站或SaaS。由于攻击是利用中继Proxy转送资料,因此实际作业像是登入SaaS 或双因素验证,都会如常执行。
但BitM有个缺点是会在合法浏览器上显示恶意网站URL。这时攻击者滥用了浏览器的Fullscreen API;BitM的视窗以全萤幕展示时,即可隐藏原始URL而降低被察觉的机会。
研究人员说明,现有fullscreen API没有指明要如何触发全萤幕,因此攻击者在假的登入浏览器视窗中加了假的登入按键,可在用户按下「登入」时,偷偷触发全萤幕执行BitM。而苹果Safari尤其有风险,因为Safari在触发全萤幕时,没有任何提示讯息。
不过研究人员也说虽然Chromium-based浏览器如Chrome、Edge虽会显示全萤幕警示或提示,但也是几秒内就关闭,而且攻击者也可用深色使提示讯息难以看清。
而除了窃取凭证外,BitM还可能导致更严重后果。例如攻击者能窃取用户个资(PII)、公司财报、内部简报、或用户上传的所有敏感资料。而且它还可被用来散布假资讯,包括假的政府公告、官网消息或诱导连结,引发混乱。