Bạn có bao giờ sử dụng Công cụ tìm kiếm tức thì của YouTube (một cách rất nhanh để tìm kiếm trên YouTube) ? Điều đó được phát triển bởi một nhà phát triển 21 tuổi tên là Feross Aboukhadijeh vào năm 2012. Chad Hurley, Giám đốc điều hành và đồng sáng lập của YouTube, đã rất ấn tượng nên ngay lập tức mời anh ấy làm việc tại YouTube. Anh ấy là nhà phát triển web, nhà thiết kế, nhà nghiên cứu bảo mật máy tính.
Gần đây, anh ấy đã phát triển một khái niệm tấn công khai thác giao diện lập trình ứng dụng toàn màn hình trong HTML5 để thực hiện các cuộc tấn công lừa đảo nâng cao. HTML5 “API toàn màn hình” cho phép các nhà phát triển web hiển thị nội dung web ở chế độ toàn màn hình, tức là lấp đầy hoàn toàn màn hình hiển thị.
API toàn màn hình có lẽ được biết đến với khả năng giả mạo, dẫn đến việc các nhà cung cấp trình duyệt lớn vận động để triển khai lớp phủ để thông báo cho người dùng khi toàn màn hình được kích hoạt.
Feross đã chứng minh cách API toàn màn hình có thể hỗ trợ các cổng tấn công lừa đảo xuất hiện khá vô hại đối với người dùng cuối, bằng cách sử dụng API để ẩn các thành phần giao diện của trình duyệt của người dùng, do đó ngăn người dùng biết URL của trang web thực tế đã truy cập.
Thật không may, trình duyệt Safari của Apple, phiên bản 6.01 trở lên, cung cấp rất ít hoặc không có dấu hiệu nào cho thấy chế độ toàn màn hình đã được kích hoạt. Google Chrome, phiên bản 22 trở lên, cung cấp một số thông báo, mặc dù như Aboukhadijeh nhận xét, thông báo này “khá tinh tế và dễ bị bỏ qua”. Mozilla Firefox, phiên bản 10 trở lên, cảnh báo người dùng bằng một thông báo dễ thấy.
Cuộc tấn công của Aboukhadijeh phụ thuộc vào kỹ thuật xã hội hơn là mã lỗi. Có nhiều cách để đánh lừa mọi người trực tuyến và cách duy nhất để giảm thiểu rủi ro đó là cảnh giác liên tục. Mã nguồn của bản trình diễn cũng có sẵn trên GitHub.
