HackerNews 编译，转载请注明出处： 安全研究人员披露苹果Safari浏览器存在设计缺陷，攻击者可利用全屏模式实施“浏览器中间人攻击”（BitM）窃取用户凭证。该漏洞源于网页通过Fullscreen API进入全屏模式时，Safari缺乏明确警示机制，使恶意窗口得以隐藏地址栏并伪装成合法登录页面。 网络安全公司SquareX指出，攻击者通过滥用全屏API实现三重欺骗：

利用noVNC等开源工具在受害者会话层叠加远程控制浏览器
通过赞助广告/社交媒体推送伪造目标服务登录页链接
当用户点击登录按钮时激活隐藏的BitM窗口

典型案例显示，...