Kelemahan pada peramban web Safari Apple memungkinkan pelaku kejahatan siber memanfaatkan teknik browser-in-the-middle (BitM) layar penuh untuk mencuri kredensial akun dari pengguna yang tidak menaruh curiga.
Dengan menyalahgunakan API Layar Penuh, yang memerintahkan konten apa pun pada halaman web untuk memasuki mode tampilan layar penuh peramban, peretas dapat memanfaatkan kekurangan tersebut untuk membuat pembatas kurang terlihat pada peramban berbasis Chromium dan mengelabui korban agar mengetik data sensitif di jendela yang dikendalikan penyerang.
Peneliti SquareX mengamati peningkatan penggunaan jenis aktivitas jahat ini dan mengatakan bahwa serangan semacam itu sangat berbahaya bagi pengguna Safari, karena peramban Apple gagal memberi tahu pengguna dengan benar saat jendela peramban memasuki mode layar penuh.
“Tim peneliti SquareX telah mengamati beberapa contoh API Layar Penuh peramban yang dieksploitasi untuk mengatasi kelemahan ini dengan menampilkan jendela BitM layar penuh yang menutupi bilah alamat jendela induk, serta batasan khusus untuk peramban Safari yang membuat serangan BitM layar penuh sangat meyakinkan,” Report penjelasannya
Cara kerja BitM
Serangan BitM yang umum melibatkan upaya mengelabui pengguna agar berinteraksi dengan peramban jarak jauh yang dikendalikan penyerang yang menampilkan halaman login yang sah. Hal ini dicapai melalui alat seperti noVNC – klien peramban VNC sumber terbuka, yang membuka peramban jarak jauh di atas sesi korban.
Karena proses log in terjadi di browser penyerang, kredensial dikumpulkan tetapi korban juga berhasil mengakses akun mereka tanpa menyadari pencurian tersebut.
Serangan tersebut masih memerlukan upaya mengelabui korban agar mengklik tautan berbahaya yang mengarahkan mereka ke situs palsu yang meniru layanan target. Namun, hal ini dapat dengan mudah dicapai melalui iklan bersponsor di browser web, kiriman media sosial, atau komentar.
Penipuan layar penuh
Jika pengguna tidak melihat URL mencurigakan di bilah browser dan mengklik tombol log in, jendela BitM akan aktif. Hingga dipicu, jendela tersebut tetap tersembunyi dari korban dalam mode diperkecil.
Jika pengguna tidak melihat URL mencurigakan di bilah browser dan mengklik tombol log in, jendela BitM yang disembunyikan dari korban dalam mode diperkecil akan aktif.
Setelah diaktifkan, jendela browser yang dikendalikan penyerang akan memasuki mode layar penuh dan menutupi situs web palsu, yang menunjukkan kepada pengguna situs web sah yang ingin diakses.
Solusi keamanan seperti EDR atau SASE/SSE tidak akan memicu peringatan apa pun saat hal ini terjadi, karena serangan tersebut menyalahgunakan API browser standar.
Para peneliti menjelaskan bahwa browser berbasis Firefox dan Chromium (misalnya Chrome dan Edge) akan menampilkan peringatan setiap kali layar penuh aktif. Meskipun banyak pengguna mungkin tidak melihat peringatan tersebut, peringatan tersebut tetap menjadi pembatas yang menurunkan risiko serangan BitM.
Namun, di Safari tidak ada peringatan dan satu-satunya tanda browser memasuki mode layar penuh adalah animasi “swipe” yang dapat dengan mudah terlewat.
“Meskipun serangan tersebut berhasil di semua browser, serangan BiTM layar penuh sangat meyakinkan di browser Safari karena kurangnya isyarat visual yang jelas saat masuk ke mode layar penuh,” kata peneliti SquareX.
SquareX menghubungi Apple dengan temuannya dan menerima balasan “wontfix”, penjelasan yang diterima adalah bahwa animasi tersebut ada untuk menunjukkan perubahan, dan itu seharusnya sudah cukup.
BleepingComputer juga telah menghubungi Apple untuk memberikan komentar, tetapi kami masih menunggu tanggapan mereka.
