Người dùng trình duyệt Safari có thể bị đánh cắp thông tin tài khoản khi truy cập toàn màn hình

author 17:00 04/06/2025

(VietQ.vn) - Một lỗ hổng trong trình duyệt Safari của Apple khiến người dùng đối mặt với nguy cơ bị đánh cắp thông tin tài khoản thông qua một kỹ thuật tấn công mới 'Browser-in-the-Middle' - BitM khi chuyển sang chế độ toàn màn hình.

Sự kiện: AN TOÀN THÔNG TIN

Theo báo cáo từ nhóm nghiên cứu bảo mật SquareX, lỗ hổng xuất phát từ cách Safari xử lý API toàn màn hình (Fullscreen API), một công cụ cho phép nội dung trên trang web hiển thị ở chế độ toàn màn hình. Trong khi các trình duyệt như Chrome, Edge hay Firefox có hiển thị cảnh báo khi chuyển sang chế độ toàn màn hình, Safari lại chỉ có hiệu ứng vuốt mờ nhạt rất dễ bị bỏ qua.

Trình duyệt quen thuộc trên các sản phẩm của Apple như iPhone, iPad,... tiềm ẩn nhiều nguy cơ mất an toàn thông tin khi chuyển sang chế độ toàn màn hình.

Kẻ tấn công lợi dụng điểm yếu này để mở một cửa sổ trình duyệt điều khiển từ xa (thông qua công cụ mã nguồn mở như noVNC) và đưa nó vào chế độ toàn màn hình, che phủ hoàn toàn trình duyệt thật. Người dùng tưởng rằng mình đang truy cập vào một trang web hợp pháp, nhưng thực chất đang nhập thông tin đăng nhập vào một cửa sổ do kẻ tấn công kiểm soát.

Theo SquareX, cách thức tấn công diễn ra trước tiên, nạn nhân bị dụ nhấp vào một liên kết độc hại, có thể được gài trong quảng cáo, bài đăng mạng xã hội hoặc bình luận giả mạo. Liên kết này chuyển hướng họ tới một trang web giả mạo giống hệt giao diện của một dịch vụ quen thuộc như email hay ngân hàng.

Khi người dùng nhấn nút đăng nhập, một cửa sổ BitM sẽ được kích hoạt ở chế độ toàn màn hình, hiển thị giao diện đăng nhập “chuẩn” để đánh lừa thị giác. Mọi thao tác nhập tài khoản, mật khẩu sẽ được ghi lại trong trình duyệt điều khiển từ xa, nhưng người dùng vẫn đăng nhập thành công vào tài khoản của mình mà không hề hay biết thông tin vừa bị đánh cắp.

Đáng chú ý, các giải pháp bảo mật hiện đại như EDR hay SASE/SSE không thể phát hiện tấn công này vì nó chỉ sử dụng các API hợp lệ có sẵn trong trình duyệt.

SquareX nhấn mạnh: “Dù kỹ thuật BitM có thể triển khai trên mọi trình duyệt, nhưng nó trở nên đặc biệt nguy hiểm với người dùng Safari bởi Safari không cảnh báo rõ ràng khi chuyển sang toàn màn hình. Điều này khiến nạn nhân khó nhận biết có điều gì bất thường đang xảy ra”.

Nhóm nghiên cứu đã liên hệ với Apple để báo cáo lỗ hổng, nhưng nhận được phản hồi "không sửa" (wontfix). Apple cho rằng hiệu ứng hoạt hình vuốt khi chuyển sang toàn màn hình là tín hiệu đủ để cảnh báo người dùng. Tuy nhiên, các chuyên gia an ninh cho rằng điều này là không đủ, nhất là trong bối cảnh nhiều người dùng không để ý hoặc không hiểu rõ về rủi ro tiềm ẩn.

Đến thời điểm hiện tại vẫn chưa nhận được câu trả lời chính thức từ phía Apple. Trong khi chờ phản hồi, các chuyên gia khuyến cáo người dùng cần thận trọng khi truy cập các liên kết không rõ nguồn gốc, đặc biệt là khi trình duyệt bất ngờ chuyển sang chế độ toàn màn hình. Nên ưu tiên sử dụng các trình duyệt có cơ chế cảnh báo trực quan hơn khi có thay đổi trạng thái hiển thị, đồng thời sử dụng xác thực hai yếu tố để bảo vệ tài khoản khỏi nguy cơ bị đánh cắp thông tin.

Duy Trinh (theo BleepingComputer)

Thích và chia sẻ bài viết:

tin liên quan

video hot

Về đầu trang