Một lỗ hổng bảo mật nghiêm trọng trong chức năng Fullscreen API của trình duyệt Safari đang bị tin tặc lợi dụng để thực hiện các cuộc tấn công lừa đảo (phishing) tinh vi, có khả năng đánh cắp thông tin đăng nhập và dữ liệu nhạy cảm của người dùng. Đáng lo ngại hơn, theo giới chuyên gia, Apple hiện không coi đây là vấn đề cần được ưu tiên khắc phục.
Công ty an ninh mạng SquareX mới đây đã phát đi cảnh báo về sự gia tăng của một dạng tấn công mạng mới, khai thác lỗ hổng nói trên thông qua kỹ thuật "Browser-in-the-Middle" (BitM). Với phương thức này, tin tặc đánh lừa nạn nhân tương tác với một trình duyệt từ xa do chúng kiểm soát. Khi trình duyệt được chuyển sang chế độ toàn màn hình trong Safari, các thành phần giao diện quan trọng như thanh địa chỉ và cảnh báo hệ thống bị ẩn hoàn toàn, khiến nạn nhân khó phát hiện dấu hiệu bất thường.
Hệ quả là, người dùng vô tình đăng nhập vào các dịch vụ trên trình duyệt giả mạo, tạo điều kiện cho tin tặc dễ dàng chiếm đoạt thông tin đăng nhập, mã xác thực hai yếu tố (2FA), cookie xác thực, và nhiều dữ liệu quan trọng khác.
Theo SquareX, điểm yếu mang tính "chí mạng" của Safari nằm ở việc không hiển thị cảnh báo rõ ràng khi trình duyệt chuyển sang chế độ toàn màn hình. Trong khi đó, các trình duyệt phổ biến như Chrome (và các trình duyệt nền tảng Chromium) hay Firefox đều cung cấp cảnh báo trực quan rõ ràng, Safari chỉ hiển thị một hiệu ứng vuốt nhẹ, dễ bị người dùng bỏ qua.
Chính sự thiếu hụt tín hiệu cảnh báo này khiến các cuộc tấn công BitM trên Safari trở nên đặc biệt thuyết phục và nguy hiểm - báo cáo của SquareX nêu rõ.
Safari dính lỗ hổng bảo mật nghiêm trọng (Ảnh: Shutterstock)
Sau khi phát hiện và ghi nhận nhiều trường hợp khai thác lỗ hổng, nhóm nghiên cứu của SquareX đã gửi cảnh báo đến Apple. Tuy nhiên, phản hồi từ phía "Táo khuyết" cho thấy hãng không có kế hoạch xử lý thêm, với lập luận rằng hiệu ứng vuốt hiện tại đã đủ để cảnh báo người dùng khi trình duyệt chuyển sang chế độ toàn màn hình.
Lập trường này đang vấp phải làn sóng chỉ trích từ giới chuyên gia an ninh mạng, khi lỗ hổng vẫn chưa được khắc phục, đặt hàng triệu người dùng Safari vào tình thế dễ bị tấn công. Trong bối cảnh các chiến dịch lừa đảo ngày càng tinh vi và khó nhận diện, việc Safari thiếu cảnh báo rõ ràng càng khiến người dùng dễ "sập bẫy".
Các chuyên gia cảnh báo: người dùng Safari cần đặc biệt cảnh giác khi trình duyệt yêu cầu chuyển sang chế độ toàn màn hình, nhất là nếu ngay sau đó xuất hiện các biểu mẫu đăng nhập hoặc yêu cầu cung cấp thông tin nhạy cảm. Việc nhận diện các dấu hiệu bất thường và thói quen kiểm tra kỹ càng là tuyến phòng thủ quan trọng để bảo vệ dữ liệu cá nhân.
