Apple Safari 地址欄可能會被過大的光標所欺騙

一個網絡忍者涉及 Safari 在 macOS 上處理自定義光標的技巧被披露，重新引發了人們對地址欄欺騙的擔憂。

該問題允許攻擊者在 Safari 地址欄上覆蓋欺騙性文本，例如“icloud.com”，從而創建可能有助於網絡釣魚嘗試的誤導性視覺效果。

該報告於 2025 年 8 月 28 日由一位名為“RenwaX23”的獨立研究人員首次公開，他還分享了GitHub 上的概念驗證和一個X 上的演示視頻。這個技巧取決於 Safari 未能執行嚴格的光標邊界檢查，一些研究人員將其稱為“死亡線”，Chrome 和 Firefox 等瀏覽器使用它來防止頁面內容在視覺上乾擾地址欄等受信任的 UI 元素。

閱讀更多：在 Mac 菜單欄中添加“Googly Eyes”以跟隨光標移動

通過製作超大的自定義光標圖像（128×128 像素），攻擊者可以在視覺上將文本或圖形疊加到 Safari 用戶界面的部分內容上。例如，將鼠標懸停在“登錄 iCloud”按鈕上可以觸發一個光標圖像，該圖像在與 Safari 地址欄相同的位置顯示“icloud.com”，即使用戶仍在潛在的惡意網站上也是如此。

此問題經過測試並確認適用於在 macOS 15.4 Beta (24E5238a) 上運行的 Safari 版本 18.4（內部版本 20621.1.15.11.5）。然而，社交媒體上的一些用戶報告 Safari 18.6 中的部分緩解措施，其中光標重疊似乎減少或被阻止，具體取決於界面變化，例如書籤的存在或 Safari 是否處於隱私瀏覽模式。

遺留問題再次出現？

基於游標的欺騙方法並不是全新的。 2009 年的缺陷，追踪為CVE-2009-1710，描述了舊版本 WebKit 中的類似問題，其中自定義光標與受操縱的 CSS 熱點相結合，允許欺騙瀏覽器 UI 元素，包括主機名和安全指示器。有人猜測 Safari 中當前的行為可能是該舊錯誤的回歸。

儘管存在明顯的網絡釣魚潛力，但蘋果拒絕將這種行為歸類為安全問題。該報告於 2025 年 5 月 5 日提交給蘋果，並於當月晚些時候得到承認，並於 8 月 7 日正式結束，聲明該報告不符合該公司的漏洞標準。這引起了部分安全社區的不滿，一些人認為現代網絡釣魚攻擊通常依賴於微妙的視覺欺騙，而不是技術利用，而 Safari 的 UI 應該防止這種視覺欺騙。

有爭議的狀態

這一披露引起了社區的分裂。一些人認為這是一個高風險的 UI 欺騙缺陷，會破壞用戶對瀏覽器視覺安全提示的信任。其他人認為這個問題過於具體，不能被視為真正的漏洞，特別是因為 Safari 不允許對地址欄本身進行 JavaScript 驅動的操作，並且基於光標的欺騙不會影響瀏覽器邏輯或憑據自動填充機制。

還有人指出，Safari 的密碼管理器和自動完成功能不會觸發欺騙元素，從而提供了一些防止直接憑據盜竊的保護措施。

雖然這不是傳統意義上的漏洞，因為沒有代碼執行或安全沙箱逃逸，但它確實構成了一個潛在的網絡釣魚媒介，該媒介依賴於人為錯誤和對 Safari 地址欄的信任。因此，Safari 用戶應該意識到這種潛在威脅。攻擊者可以將這種視覺欺騙與社會工程和平台外技巧（例如虛假電子郵件）結合起來，以說服用戶在相似的網站上輸入憑據。最好的方法是使用依賴域匹配來自動填充憑據的密碼管理器，這些憑據不受此類視覺技巧的影響。