El mismo desarrollador de YouTube Instant Search Engine ha desarrollado un ataque de phishing a través de HTML5 cuando usamos aplicaciones en pantalla completa.
La API de pantalla completa podría producir técnicas de suplantación de identidad en sitios web (spoofing), de esta forma, los principales navegadores han implementado notificaciones a los usuarios cuando este modo está activado.
Este desarrollador ha demostrado cómo esta API puede ayudar a los portales a hacer ataques de phishing mediante la utilización de este API para ocultar los elementos de la interfaz del navegador a los usuarios, lo que impide que el usuario conozca la dirección URL de la web que hemos visitado realmente.
Un ejemplo de navegador que no ofrece ninguna información de que el modo de pantalla completa está activado es el navegador de Apple, Safari, en versiones 6 y posteriores. Google Chrome en versiones 22 y posteriores, informa de su uso pero la notificación puede pasar desapercibida si no estamos atentos.
Sin embargo, Mozilla Firefox 10 y posteriores sí informan adecuadamente con una notificación visible.
El código fuente de esta herramienta está disponible en GitHub.