реклама
Теги → pwa

Мошенники научились обходить защиту Android и iOS при помощи веб-приложений

Создатели фишинговых мошеннических схем нашли способ обходить механизмы, направленные против приложений, которые предназначены для кражи личной информации. Эти меры не работают против прогрессивных веб-приложений (Progressive Web App — PWA), чьи привилегии ниже, и возможности — скромнее.

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

На iOS разрешена установка приложений только из App Store, а на Android по умолчанию можно устанавливать приложения только из Google Play — при попытке использовать другой источник система выводит предупреждение. Обнаруженные за последние девять месяцев фишинговые кампании имеют своей целью обманом заставить жертву установить вредоносное приложение, которое маскируется под официальный банковский клиент. После установки оно крадёт данные учётной записи и в реальном времени отправляет их злоумышленнику через Telegram, предупреждают эксперты компании ESET.

При атаке на пользователей iOS используется традиционное PWA — разработанный злоумышленниками веб-сайт открывается не через браузер, а с имитацией полноценного приложения; пользователей Android в некоторых случаях обманом заставляют устанавливать его особый подвид — WebAPK. Атака начинается, когда потенциальная жертва получает текстовое сообщение, звонок робота или переходит по ссылке вредоносной рекламы на Facebook или Instagram. Открыв ссылку, они попадают на страницу, имитирующую магазин приложений App Store или Google Play.

В случае с iOS установка PWA немного отличается от процедуры установки стандартного приложения — пользователю показывается всплывающее окно с инструкциями по установке, имитирующее системное сообщение платформы. Если же пользователь Android установил WebAPK через Google Play, то его бдительность усыпляется тем, что в описании говорится об отсутствии у приложения системных привилегий. В любом случае после установки пользователю предлагается ввести свои учётные данные для доступа к онлайн-банку, и вся введённая информация отправляется на подконтрольный мошенникам сервер.

Новая схема пока применяется преимущественно в Чехии, но уже отмечены инциденты в Венгрии и Грузии. Эксперты по кибербезопасности предполагают, что число подобных инцидентов будет расти, а их география — расширяться.

Apple передумала лишать iOS 17.4 поддержки веб-приложений в ЕС

Apple, которая ранее заявила, что с выходом iOS 17.4 на телефонах в ЕС прекратят поддерживаться прогрессивные веб-приложения (PWA) из-за требований «Закона о цифровых рынках» (DMA), отказалась от этой инициативы. Компания пообещала, что «продолжит предлагать существующие возможности веб-приложений для главного экрана в ЕС».

Решение Apple отключить работу PWA вызвало поток критики в адрес компании, а европейские чиновники сообщили о готовности провести проверку этого решения. Компания же пояснила, что для сохранения этой функции в новых условиях ей придётся создать «совершенно новую архитектуру интеграции, которая в настоящее время в iOS не существует», чтобы решить «сложные вопросы безопасности и конфиденциальности, связанные с веб-приложениями, использующими альтернативные браузерные движки». Apple считала, что проводить эту работу было бы «непрактично с учётом других требований DMA и низкой популярности веб-приложений на главном экране среди пользователей».

Теперь в компании сменили курс и заявили, что iOS 17.4 сохранит поддержку PWA на телефонах в ЕС. «Эта поддержка означает, что веб-приложения на главном экране по-прежнему будут создаваться непосредственно на WebKit и его архитектуре безопасности и соответствовать модели безопасности и конфиденциальности нативных приложений для iOS», — добавили в компании. Иными словами, вне зависимости от того, через какой браузер веб-приложение было добавлено на главный экран, запускаться оно будет только через WebKit.

Apple начала отключать веб-приложения на iPhone в Европе, ссылаясь на безопасность

Apple начала отключать поддержку прогрессивных веб-приложений (Progressive Web Apps — PWA) на iPhone, принадлежащих пользователям из Евросоюза. Такие приложения уже прекратили работать в регионе во всех бета-версиях iOS 17.4, и теперь Apple официально подтвердила, что это был намеренный шаг. С выходом стабильной версии iOS 17.4 поддержку приложений утратят все пользователи из ЕС.

В разделе для разработчиков на своём сайте Apple сообщила, что отключила пользователям из ЕС «приложения для домашнего экрана» (Home Screen web apps), поскольку приведение их в соответствие с «Законом о цифровых рынках» (DMA) потребовало бы «совершенно новой архитектуры интеграции», реализовывать которую при всех нововведениях в регионе было бы «непрактично». Одна из норм DMA требует Apple открыть платформу для браузеров на альтернативных движках.

PWA работают «непосредственно на WebKit» — собственном движке Safari, — что позволяет им «соответствовать модели безопасности и конфиденциальности нативных приложений для iOS». С обновлением до iOS 17.4 добавленные на главный экран сайты превращаются в ярлыки, открывающие новую вкладку в браузере, а не автономные службы с поддержкой push-уведомлений и отображением их наличия на иконках — эту функцию Apple добавила только в прошлом году.

Прогрессивные веб-приложения позволяют хранить данные отдельно от браузера, что удобно, если нужен быстрый доступ к какому-либо сайту, и не нужен постоянный вход в систему. Некоторые службы, например, Facebook Gaming, пользуются форматом веб-приложений для обхода Apple App Store и его комиссий. С появлением в ЕС альтернативных браузерных движков на iOS этот формат, по версии Apple, начал создавать угрозу безопасности: «вредоносные веб-приложения могут считывать данные других веб-приложений, перехватывать их разрешения для получения доступа к камере, микрофону или местоположению пользователя без его согласия». Браузеры также могут устанавливать веб-приложения без ведома пользователя, добавила Apple, хотя на Android они работают уже много лет на всех браузерах.

«Ожидаем, что это изменение коснётся небольшого числа пользователей. Тем не менее, сожалеем о любом влиянии, которое это изменение, внесённое в рамках работы по обеспечению соответствия DMA, может оказать на разработчиков веб-приложений для главного экрана и наших пользователей», — заключила Apple. Ещё одной причиной отключения поддержки этой функции в компании назвали её «очень низкую популярность».

window-new
Soft
Hard
Тренды 🔥
Star Wars Outlaws вышла в Steam с крупным обновлением и дополнением про Лэндо Калриссиана 42 мин.
Миллионер с зарплатой сантехника: выяснилось, сколько зарабатывает глава OpenAI 3 ч.
Рекордная скидка и PvP-режим Versus обернулись для Warhammer: Vermintide 2 полумиллионом новых игроков за неделю 3 ч.
Роскомнадзор с декабря начнёт блокировать сайты за публикацию научной информации о VPN для обхода блокировок 3 ч.
Новый трейлер раскрыл дату выхода Mandragora — метроидвании с элементами Dark Souls и нелинейной историей от соавтора Vampire: The Masquerade — Bloodlines 4 ч.
В Японии порекомендовали добавить в завещания свои логины и пароли 5 ч.
Обновления Windows 11 больше не будут перезагружать ПК, но обычных пользователей это не касается 6 ч.
VK похвасталась успехами «VK Видео» на фоне замедления YouTube 7 ч.
GTA наоборот: полицейская песочница The Precinct с «дозой нуара 80-х» не выйдет в 2024 году 9 ч.
D-Link предложила устранить уязвимость маршрутизаторов покупкой новых 10 ч.
Redmi показала флагманский смартфон K80 Pro и объявила дату его премьеры 29 мин.
Астрономы впервые сфотографировали умирающую звезду за пределами нашей галактики — она выглядит не так, как ожидалось 4 ч.
Представлена технология охлаждения чипов светом — секретная и только по предварительной записи 4 ч.
Японская Hokkaido Electric Power намерена перезапустить ядерный реактор для удовлетворения потребности ЦОД в энергии 5 ч.
Грузовик «Прогресс МС-29» улетел к МКС с новогодними подарками и мандаринами для космонавтов 5 ч.
Meta планирует построить за $5 млрд кампус ЦОД в Луизиане 6 ч.
HPE готова ответить на любые вопросы Минюста США по расследованию покупки Juniper за $14 млрд 6 ч.
Thermaltake представила компактный, но вместительный корпус The Tower 250 для игровых систем на Mini-ITX 7 ч.
Флагманы Oppo Find X8 и X8 Pro на Dimensity 9400 стали доступны не только в Китае — старший оценили в €1149 8 ч.
«ВКонтакте» выросла до 88,1 млн пользователей — выручка VK взлетела на 21,4 % на рекламе 8 ч.