Mentre si usa Safari tranquillamente, qualcuno potrebbe rubare le credenziali proprio sotto il nostro naso. I ricercatori di SquareX hanno scoperto una falla preoccupante nel browser di Apple che permette agli hacker di sfruttare la modalità a schermo intero per ingannare gli utenti e rubare i loro dati di accesso.
La modalità schermo intero su Safari apre la porta agli hacker
La tecnica si chiama “browser-in-the-middle” e funziona in modo diabolicamente semplice. I criminali fanno cliccare su un link malevolo che porta su un sito fake che imita perfettamente quello che si voleva visitare. Quando si prova a fare login, si attiva una finestra nascosta controllata dagli hacker che copre completamente il sito falso.
Il bello (si fa per dire) è che a quel punto ci si ritrova davvero sul sito legittimo, solo che la sessione passa attraverso il browser dei criminali. Si entra senza problemi nel proprio account, ma loro hanno appena registrato username e password.
Perché Safari è più vulnerabile degli altri?
Firefox e i browser basati su Chromium come Chrome ed Edge mostrano sempre un avviso quando si entra in modalità schermo intero. Non è granché, molti utenti se lo perdono comunque, ma almeno c’è un segnale di allerta. Safari invece fa finta di niente. L’unico indizio che qualcosa sta succedendo è una piccola animazione di “scorrimento” che si nota a malapena.
I ricercatori hanno contattato Apple per segnalare la vulnerabilità, ma l’azienda non ha intenzione di fare nulla, perché l’animazione c’è, e dovrebbe bastare per indicare che qualcosa è cambiato. Una posizione che lascia perplessi, soprattutto considerando che gli attacchi di questo tipo stanno aumentando. I criminali sfruttano pubblicità sponsorizzate, post sui social media o commenti per spingere le vittime verso siti malevoli, rendendo l’attacco particolarmente subdolo.
La trappola perfetta
Il problema, è che non serve essere un genio del crimine informatico per mettere in piedi questo tipo di attacco. Basta usare strumenti open source come noVNC che aprono un browser remoto sopra la sessione della vittima. Le soluzioni di sicurezza tradizionali non scattano nemmeno, perché tecnicamente l’attacco usa le API standard del browser. Il risultato è che mentre si pensa di navigare normalmente, qualcuno dall’altra parte del mondo sta registrando ogni mossa sui siti più importanti.
Ti potrebbe interessare
3 giu 2025