محققان SquareX آسیب‌پذیری جدیدی در مرورگر Safari اپل کشف کرده‌اند که به مهاجمان اجازه می‌دهد از تکنیک Browser-in-the-Middle (BitM) در حالت تمام‌صفحه برای سرقت اطلاعات ورود کاربران استفاده کنند. این حمله با سوءاستفاده از Fullscreen API عمل می‌کند و پنجره‌ای تحت کنترل مهاجم را در حالت تمام‌صفحه نمایش می‌دهد که نوار آدرس مرورگر اصلی را پوشانده و کاربران را فریب می‌دهد تا اطلاعات حساس خود را در محیط جعلی وارد کنند.

این حمله در Safari بسیار خطرناک‌تر است زیرا برخلاف Firefox و مرورگرهای مبتنی بر Chromium که هشدار واضحی هنگام ورود به حالت تمام‌صفحه نمایش می‌دهند، Safari تنها یک انیمیشن “swipe” ساده دارد که به راحتی قابل نادیده گرفتن است. اپل پس از اطلاع از این مشکل، پاسخ “wontfix” داده و اعلام کرده که انیمیشن موجود برای نشان دادن تغییرات کافی است. مهاجمان می‌توانند از طریق تبلیغات حمایت‌شده، پست‌های رسانه‌های اجتماعی یا نظرات، کاربران را به کلیک روی لینک‌های مخرب و ورود به سایت‌های جعلی ترغیب کنند.