Fullscreen BitM: Nowa era ataków Browser-in-the-Middle

Najnowsze badania SquareX ujawniają, że ataki Browser-in-the-Middle (BitM) ewoluują, wykorzystując Fullscreen API przeglądarki Safari, by całkowicie ukryć paski adresu i wskaźniki bezpieczeństwa. Ofiary klikają pozornie niewinne przyciski, a zdalne okno przeglądarki atakującego przechodzi w tryb pełnoekranowy – bez żadnego powiadomienia ze strony Safari.
Browser-in-the-Middle (BitM) to technika ataku phishingowego, w której ofiara zostaje nakłoniona do kliknięcia linku lub przycisku, za którym kryje się zdalna sesja przeglądarki kontrolowana przez atakującego.
Ta zdalna przeglądarka (np. uruchomiona przez noVNC, czyli otwartoźródłowy klient VNC napisany w JavaScript i HTML5, który pozwala na dostęp do pulpitu zdalnego bezpośrednio w przeglądarce, bez konieczności instalowania dodatkowych wtyczek) wyświetla oryginalną stronę logowania do serwisu (np. banku czy portalu SaaS), podczas gdy wszystkie wpisane dane trafiają wprost do przestępcy.
Ofiara korzysta z interfejsu prawdziwej przeglądarki, nieświadoma, że pracuje na maszynie atakującego, co uniemożliwia wykrycie oszustwa przez analizę ruchu sieciowego czy standardowe rozwiązania Endpoint Detection and Response (EDR), których zadaniem jest monitorowanie, wykrywanie i reagowanie na zagrożenia na poziomie punktów końcowych (komputerów, laptopów, serwerów czy urządzeń mobilnych.
Firma SquareX, opublikowała nowe badania dotyczące zaawansowanego ataku Browser-in-the-Middle (BitM), który celuje w użytkowników przeglądarki Safari. Według Gemius, międzynarodowej firmy świadczącej usługi badawcze Safari jest czwartą pod względem popularności przeglądarką wśród polskich użytkowników internetu (dane na kwiecień 2025 r.).
Badanie, przeprowadzone w ramach projektu „Year of Browser Bugs” (YOBB), opisuje sposób, w jaki ataki BitM podsuwają ofiarom fałszywe strony logowania, wyświetlane w kontrolowanym przez atakującego oknie przeglądarki. Ofiara widzi kompletne, działające środowisko przeglądarki, jednak tak naprawdę wpisuje dane na zdalnej maszynie atakującego, co uniemożliwia wykrycie oszustwa przez standardowe narzędzia ochrony czy czujnych użytkowników.
Tradycyjną słabością ataków BitM była widoczność paska adresu w nadrzędnym oknie, co mogło wzbudzić podejrzenia. SquareX wykryło jednak lukę w implementacji Fullscreen API w Safari: po kliknięciu dowolnego elementu (np. fałszywego przycisku „Zaloguj się”) atakujący może wywołać żądanie requestFullscreen (), rozciągając zdalne okno przeglądarki na cały ekran. Safari nie wyświetla wówczas żadnego komunikatu czy wskaźnika wejścia w tryb pełnoekranowy, co czyni atak niezwykle przekonującym SecurityBrief Asia.
Jak ostrzegają autorzy badania, rozwiązania klasy EDR (Endpoint Detection and Response) nie mają wglądu w aktywność wewnątrz przeglądarki, więc są bezradne wobec standardowych i pełnoekranowych odmian BitM. Również rozwiązania SASE (Secure Access Service Edge) i SSE (Security Service Edge) mogą zostać ominięte, ponieważ cała komunikacja odbywa się w przeglądarce zdalnej, bez podejrzanego ruchu sieciowego lokalnie
Użytkownicy Safari muszą się mieć na baczności
Najbardziej narażeni są użytkownicy Safari, gdyż tam nie występuje żaden wyraźny komunikat wejścia w pełny ekran. Inne przeglądarki (Chrome, Firefox, Edge) wydają wprawdzie subtelne alerty, ale łatwo je przeoczyć, szczególnie w trybie ciemnym.
Jak się bronić przed Browser-in-The-Middle
- Przed wpisaniem hasła należy sprawdzić, czy na ekranie widoczny jest pełny pasek adresu z poprawnym adresem serwisu (np. „https://moja-bank.pl”). W razie braku paska – wyjść z trybu pełnoekranowego (klawisz Esc) i ponownie zweryfikować adres.
- W sytuacji, gdy strona automatycznie przechodzi w tryb pełnoekranowy po kliknięciu jakiegokolwiek elementu, należy zachować ostrożność – uczciwe serwisy rzadko korzystają z pełnoekranowego interfejsu logowania.
- Przeglądarka powinna być regularnie aktualizowana, by każde wydanie zawierało najnowsze poprawki bezpieczeństwa.
- Warto włączyć dwuetapowe uwierzytelnianie (2FA), dzięki któremu samo hasło nie wystarczy do logowania – wymagany jest dodatkowy kod lub klucz sprzętowy.
- Linki z nieznanych źródeł (mail, SMS, komunikator) nie powinny być otwierane – lepiej wpisać adres serwisu ręcznie lub skorzystać z zaufanej zakładki.
- Rozszerzenie anty-phishingowe lub narzędzie Browser Detection and Response może być zainstalowane w przeglądarce w celu wykrywania podejrzanych przekierowań.
- W razie zauważenia nietypowego zachowania strony (np. opóźnień, zawieszania się elementów) należy zamknąć kartę i otworzyć serwis ponownie.
- Korzystanie z VPN lub tunelowania SSH może utrudnić atakującemu podstawienie własnej sesji.