Apple Safari 地址栏可能会被过大的光标所欺骗

一个网络忍者涉及 Safari 在 macOS 上处理自定义光标的技巧被披露，重新引发了人们对地址栏欺骗的担忧。

该问题允许攻击者在 Safari 地址栏上覆盖欺骗性文本，例如“icloud.com”，从而创建可能有助于网络钓鱼尝试的误导性视觉效果。

该报告于 2025 年 8 月 28 日由一位名为“RenwaX23”的独立研究人员首次公开，他还分享了GitHub 上的概念验证和一个X 上的演示视频。这个技巧取决于 Safari 未能执行严格的光标边界检查，一些研究人员将其称为“死亡线”，Chrome 和 Firefox 等浏览器使用它来防止页面内容在视觉上干扰地址栏等受信任的 UI 元素。

阅读更多：在 Mac 菜单栏中添加“Googly Eyes”以跟踪光标

通过制作超大的自定义光标图像（128×128 像素），攻击者可以在视觉上将文本或图形叠加到 Safari 用户界面的部分内容上。例如，将鼠标悬停在“登录 iCloud”按钮上可以触发一个光标图像，该图像在与 Safari 地址栏相同的位置显示“icloud.com”，即使用户仍在潜在的恶意网站上也是如此。

此问题经过测试并确认适用于在 macOS 15.4 Beta (24E5238a) 上运行的 Safari 版本 18.4（内部版本 20621.1.15.11.5）。然而，社交媒体上的一些用户报告 Safari 18.6 中的部分缓解措施，其中光标重叠似乎减少或被阻止，具体取决于界面变化，例如书签的存在或 Safari 是否处于隐私浏览模式。

遗留问题再次出现？

基于游标的欺骗方法并不是全新的。 2009 年的缺陷，追踪为CVE-2009-1710，描述了旧版本 WebKit 中的类似问题，其中自定义光标与受操纵的 CSS 热点相结合，允许欺骗浏览器 UI 元素，包括主机名和安全指示器。有人猜测 Safari 中当前的行为可能是该旧错误的回归。

尽管存在明显的网络钓鱼潜力，但苹果拒绝将这种行为归类为安全问题。该报告于 2025 年 5 月 5 日提交给苹果，并于当月晚些时候得到承认，并于 8 月 7 日正式结束，声明该报告不符合该公司的漏洞标准。这引起了部分安全社区的不满，一些人认为现代网络钓鱼攻击通常依赖于微妙的视觉欺骗，而不是技术利用，而 Safari 的 UI 应该防止这种视觉欺骗。

有争议的状态

这一披露引起了社区的分裂。一些人认为这是一个高风险的 UI 欺骗缺陷，会破坏用户对浏览器视觉安全提示的信任。其他人认为这个问题过于具体，不能被视为真正的漏洞，特别是因为 Safari 不允许对地址栏本身进行 JavaScript 驱动的操作，并且基于光标的欺骗不会影响浏览器逻辑或凭据自动填充机制。

还有人指出，Safari 的密码管理器和自动完成功能不会触发欺骗元素，从而提供了一些防止直接凭据盗窃的保护措施。

虽然这不是传统意义上的漏洞，因为没有代码执行或安全沙箱逃逸，但它确实构成了一个潜在的网络钓鱼媒介，该媒介依赖于人为错误和对 Safari 地址栏的信任。因此，Safari 用户应该意识到这种潜在威胁。攻击者可以将这种视觉欺骗与社会工程和平台外技巧（例如虚假电子邮件）结合起来，以说服用户在相似的网站上输入凭据。最好的方法是使用依赖域匹配来自动填充凭据的密码管理器，这些凭据不受此类视觉技巧的影响。