Browser-Sicherheitslücken sind eine der größten Gefahren im Bereich der Cybersecurity, da sie direkten Zugriff auf die sensiblen Daten von Anwendern ermöglichen. Eine besonders heimtückische Schwachstelle betrifft den Safari-Browser, der eine Lücke im Zusammenhang mit sogenannten Browser-in-the-Middle-Angriffen (BitM) aufweist. Diese Angriffsform nutzt die Fullscreen API des Browsers aus, um Nutzer zu täuschen und ihre Zugangsdaten unbemerkt zu stehlen. Die Besonderheit: Fullscreen BitM Angriffe sind auf Safari besonders überzeugend, da der Browser kaum visuelle Hinweise auf den Wechsel in den Vollbildmodus bietet. Das macht diese Angriffe für Anwender fast unsichtbar und somit besonders gefährlich.
Im Folgenden wird vorgestellt, wie diese Angriffe funktionieren, warum Safari dabei besonders anfällig ist und welche Schutzmaßnahmen notwendig sind, um dieser wachsenden Bedrohung zu begegnen. BitM-Angriffe gehören zu einer neueren Generation von Phishing-Methoden, die über konventionelle Täuschungsversuche hinausgehen. Bei einem BitM-Angriff wird die inhärente Funktionalität eines Browsers genutzt, um eine unbemerkte Verbindung zu einem vom Angreifer kontrollierten System herzustellen. Im Gegensatz zu einfachen Pop-up-Fenstern oder klassischen Phishing-Seiten treten BitM-Angriffe über remote Browser-Instanzen auf, die in einem Browserfenster abgebildet werden. Auf diese Weise erscheint dem Nutzer eine vermeintlich legitime Webseite, die in Wahrheit von Angreifern kontrolliert wird.
Besonders perfide dabei ist, dass Besucher nach der Eingabe ihrer Zugangsdaten nicht sofort misstrauisch werden, weil normale Funktionen erhalten bleiben. Nutzer können sogar problemlos weitere Tabs öffnen und sich bei anderen Diensten anmelden, während die Angreifer all diese Handlungsschritte überwachen und so weiterführende sensible Daten abgreifen. Die Ursprünge dieser spezifischen Angriffstechnologie lassen sich auf Sicherheitsforscher der Universität Salento im Jahr 2021 zurückverfolgen. Seitdem haben sich Browser-in-the-Middle-Angriffe als ein Mittel zunehmender Beliebtheit für Angreifer etabliert, da sie schwer zu erkennen sind und konventionelle Schutzmechanismen umgehen können. Die Herausforderung für Nutzer besteht darin, dass das ursprüngliche Fenster der Angreifer immer noch eine verdächtige URL im Adressfeld anzeigt, was zumindest technisch versierte Anwender aufmerksam machen könnte.
Dieses Problem umgeht der Fullscreen BitM Angriff, indem er die gesamte Browseransicht einnimmt und die ursprüngliche URL komplett verdeckt. Besonders die Safari-Implementierung verstärkt die Gefahr, denn sie zeigt bei Aktivierung des Vollbildmodus keine hinreichenden Meldungen oder Warnhinweise an, wodurch Anwender keinen Anlass haben, an der Echtheit der Seite zu zweifeln. Der Angriff beginnt häufig mit der Verbreitung von Phishing-Links über verschiedene Kanäle, etwa gefälschte Werbeanzeigen, Social Media Kommentare oder sogar populäre Livestreams. Ein prominentes Beispiel ist ein BitB-Angriff auf Steam-Spieler, die durch vermeintliche Giveaways zu gefälschten Login-Seiten gelockt wurden. Im Unterschied dazu verwendet der Fullscreen BitM Angriff eine remote Browser-Instanz, die über die Fullscreen API in den Vollbildmodus gezwungen wird.
Das täuscht den Nutzer vor, tatsächlich auf der echten Website zu sein, ohne dass das Adressfeld sichtbar ist. Die Aktion, in den Vollbildmodus zu wechseln, erfolgt durch einen Klick des Nutzers, der als „transient user activation“ gilt und so die Vollbildfunktion auslöst. Angreifer können den Klick geschickt als legitimen Login-Button tarnen. Die Fullscreen API ermöglicht es Webanwendungen, einzelne Elemente oder Fenster im Vollbildmodus darzustellen. Normalerweise wird der Übergang in den Vollbildmodus mit gewissen Indikatoren begleitet, um Nutzer über den Wechsel zu informieren.
Chrome und Firefox liefern beispielsweise kurzzeitig Hinweise auf den aktiven Domainnamen und zeigen eine benachrichtigende Meldung an. In Safari hingegen fehlt eine solche explizite Anzeige vollständig. Nutzer sehen lediglich eine kaum wahrnehmbare Animation beim Übergang in den Vollbildmodus – ein Effekt, der für die meisten Anwender kaum als Warnsignal gilt. Dies macht Safari besonders anfällig für Fullscreen BitM Angriffe, da Nutzer keine Sicherheitssignale erhalten, die sie vor einer Manipulation schützen könnten. Durch die Kombination von BitM-Technik und Fullscreen API entsteht ein Angriff, bei dem ein Angreifer eine vollständig kontrollierte Browser-Instanz im Vollbild anzeigt, die alle visuellen Elemente der echten Website reproduziert – inklusive Login-Formularen.
Nutzer geben hier sorglos ihre Zugangsdaten ein, ohne zu ahnen, dass diese Eingaben direkt an den Angreifer übermittelt werden. Der Vorteil für Cyberkriminelle ist, dass der Nutzer anschließend glaubhaft auf der legitimen Plattform eingeloggt erscheint und über weitere Tabs auf weitere Anwendungen zugreifen kann. Dadurch können zusätzliche Zugangsdaten und Informationen kompromittiert werden, ohne dass das Opfer misstrauisch wird. Unternehmen stehen vor großen Problemen bei der Abwehr solcher Angriffe, da traditionelle Sicherheitstechnologien wie Endpoint Detection and Response (EDR) oder Secure Access Service Edge (SASE) Lösungen die feinen Browser-interne Vorgänge oft nicht überwachen können. Viele solcher Lösungen sind darauf ausgelegt, bösartige Netzwerkaktivitäten zu erkennen, doch da es sich bei Fullscreen BitM um eine legitime Browser-Funktionalität handelt, kann der Angriff unbemerkt bleiben.
Die Remote Browser-Verbindung erzeugt keinen verdächtigen Traffic und die Kommunikation wirkt regulär. Auch Sicherheitsanwendungen, die auf URL-Filter oder Netzwerkproxies setzen, können durch das Hosting der Phishingseiten auf vertrauenswürdigen Plattformen wie AWS oder Vercel ausgetrickst werden, da diese Domains in Unternehmensnetzwerken meist als sicher gelten. Die Reaktion von Apple auf die vorgebrachte Sicherheitslücke bei Safari war bislang abweisend. Die verantwortlichen Entwickler sehen die Nutzung der Fullscreen API und die begleitende „Swipe“-Animation als beabsichtigtes Verhalten und planen derzeit keine Änderung oder Sicherheits-Patches. Damit bleibt Safari ein besonders attraktives Ziel für Angreifer, die diese Schwachstelle ausnutzen wollen.
Es entsteht so eine beunruhigende Situation, in der eine grundlegende Browser-API ohne zusätzlichen Schutz missbraucht werden kann, während Hersteller keine Abhilfe schaffen. Als Antwort auf diese Herausforderung setzen führende Cybersicherheitsanbieter mittlerweile auf browser-native Sicherheitslösungen, die genau dort ansetzen, wo Angriffe stattfinden. Ein Beispiel hierfür ist die Browser Detection and Response (BDR) Lösung von SquareX, die speziell entwickelt wurde, um volle Transparenz über Browseraktivitäten zu schaffen. Solche Lösungen werden als Browser-Extensions bereitgestellt und können dadurch detaillierte Einblicke in DOM-Veränderungen, User-Interaktionen und Website-Berechtigungen erhalten. Damit sind sie in der Lage, BitM und Fullscreen BitM Angriffe zu erkennen und automatisiert zu blockieren, ohne die Arbeitsweise der Nutzer zu beeinträchtigen.
Die Integration von browserbasiertem Threat Hunting, Datei- und Clipboard-DLP sowie maßgeschneiderten Schutzmechanismen steigert die Sicherheit für Unternehmen signifikant. Dadurch wird die Angriffsfläche minimiert und selbst komplexe clientseitige Angriffe, die traditionelle EDRs und Proxy-Lösungen umgehen, können adressiert werden. Die Verfügbarkeit als schlanke Browser-Extension ermöglicht zudem einen unkomplizierten Rollout, auch auf BYOD- und unmanaged Devices, was im heutigen hybriden Arbeitsumfeld besonders wichtig ist. Angesichts der weiter zunehmenden Komplexität von Webangriffen und der wachsenden Anzahl von Browser-Schwachstellen ist es essenziell, das Bewusstsein für diese Bedrohungen zu erhöhen. Nutzer und Unternehmen sollten insbesondere im Umgang mit Login-Prozessen und sensiblen Anwendungen erhöhte Aufmerksamkeit walten lassen.
Anzeichen wie unerwartetes Erscheinen von Vollbildfenstern und fehlende URL-Anzeige sollten Anlass zu Vorsicht geben. Auch Schulungen zum Thema Phishing und fortgeschrittene Social Engineering Angriffe gewinnen an Bedeutung, um Nutzer zu sensibilisieren und ihre Fähigkeit zur Erkennung von Betrugsversuchen zu stärken. Insgesamt zeigen Fullscreen BitM Angriffe, wie Angreifer immer raffinierter vorgehen und legitime Browserfunktionen zu ihrem Vorteil nutzen. Die Kombination von Täuschung, Nutzung von API-Funktionalität und mangelnder visuelle Nutzerinformation macht diese Bedrohung besonders heimtückisch. Eine ganzheitliche Sicherheitsstrategie, die neben Netzwerkschutz auch browsernahe Schutzmechanismen integriert, ist der beste Weg, um sich gegen diese Angriffe effektiv zu wappnen.
