Pesquisadores de segurança cibernética alertaram para uma vulnerabilidade no navegador Safari que pode ser explorada por criminosos para aplicar golpes do tipo browser-in-the-middle. Essa técnica utiliza a API Fullscreen — um recurso presente em navegadores modernos que permite exibir páginas da web em modo de tela cheia — para enganar usuários ao ocultar os elementos nativos do navegador, como a barra de endereços e menus.
A principal preocupação dos especialistas, segundo informações publicadas pelo site BleepingComputer, é que o Safari, diferente de navegadores como Chrome e Firefox, não exibe um alerta visual claro ao entrar em modo de tela cheia. Isso abre uma brecha para que criminosos criem páginas falsas que se disfarçam como telas legítimas de login, sites bancários ou plataformas conhecidas, enquanto são executadas dentro de um navegador remoto controlado por atacantes.
Na prática, o golpe funciona assim: o usuário é levado a uma página aparentemente inofensiva, que utiliza a API Fullscreen para abrir em tela cheia. Nesse momento, todos os elementos do navegador desaparecem, e a vítima pode ser induzida a acreditar que está acessando um site seguro e legítimo. No entanto, o que está sendo exibido é, na verdade, um conteúdo renderizado remotamente pelo invasor — ou seja, o criminoso tem controle total sobre o que o usuário vê e o que ele digita.
Esse tipo de golpe se torna particularmente perigoso porque pode escapar de detecções convencionais. A vítima pode digitar seu nome de usuário, senha e outras informações confidenciais em uma interface que parece legítima, sem perceber que está interagindo com uma réplica manipulada. Por se tratar de uma sessão em tempo real, o invasor pode capturar as credenciais instantaneamente.
Segundo os pesquisadores responsáveis pela descoberta, que não tiveram seus nomes divulgados no relatório inicial, o Safari deveria, assim como outros navegadores, exibir uma notificação visível — como uma barra ou pop-up — sempre que uma página entra em modo fullscreen. Essa notificação serviria como alerta de segurança para o usuário, evitando que a transição aconteça de forma silenciosa e enganosa.
A Apple foi informada da vulnerabilidade, mas respondeu que a animação de transição entre os modos normal e tela cheia seria suficiente para sinalizar ao usuário que algo mudou na visualização. Os especialistas, no entanto, discordam: a transição visual é rápida e discreta, e pode passar despercebida, especialmente em dispositivos com alto desempenho ou quando o usuário está distraído.
Golpes browser-in-the-middle não são novidade, mas seu uso vem crescendo à medida que as ferramentas de engenharia social evoluem e se tornam mais sofisticadas. A combinação de APIs do navegador com design enganoso permite que criminosos criem páginas quase indistinguíveis das reais, aumentando a eficácia dos ataques.
Diante desse cenário, especialistas em segurança recomendam aos usuários de Safari:
- Evitar clicar em links desconhecidos ou recebidos por e-mail e redes sociais;
- Desconfiar sempre que um site for exibido em tela cheia sem consentimento explícito;
- Pressionar a tecla ESC para sair do modo fullscreen ao menor sinal de suspeita;
- Utilizar autenticação em dois fatores como camada extra de segurança;
- Manter o sistema operacional e o navegador sempre atualizados.
Nota de transparência: Esta matéria foi produzida com base em informações divulgadas pelo site BleepingComputer. A Apple foi contatada pelos pesquisadores de segurança, mas até o momento não indicou mudanças no comportamento do Safari quanto à exibição de alertas em tela cheia. A situação descrita é considerada um risco potencial e não uma falha explorada em larga escala até agora.
Você já foi surpreendido por páginas em tela cheia no Safari? Acredita que os navegadores devem alertar mais claramente sobre isso?
Deixe sua opinião nos comentários e compartilhe esta informação para ajudar mais pessoas a se protegerem!
Nota do editor: A cada dia eu fico estudando seriamente em deixar os computadores da Apple, para um PCZão com Linux. A Apple está me decepcionando muito, e acredito que o Steve Jobs também.
Fontes:
BleepingComputer, pesquisadores de segurança, Apple, API Fullscreen