Сегодня 12 августа 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → pwa

Мошенники научились обходить защиту Android и iOS при помощи веб-приложений

Создатели фишинговых мошеннических схем нашли способ обходить механизмы, направленные против приложений, которые предназначены для кражи личной информации. Эти меры не работают против прогрессивных веб-приложений (Progressive Web App — PWA), чьи привилегии ниже, и возможности — скромнее.

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

На iOS разрешена установка приложений только из App Store, а на Android по умолчанию можно устанавливать приложения только из Google Play — при попытке использовать другой источник система выводит предупреждение. Обнаруженные за последние девять месяцев фишинговые кампании имеют своей целью обманом заставить жертву установить вредоносное приложение, которое маскируется под официальный банковский клиент. После установки оно крадёт данные учётной записи и в реальном времени отправляет их злоумышленнику через Telegram, предупреждают эксперты компании ESET.

При атаке на пользователей iOS используется традиционное PWA — разработанный злоумышленниками веб-сайт открывается не через браузер, а с имитацией полноценного приложения; пользователей Android в некоторых случаях обманом заставляют устанавливать его особый подвид — WebAPK. Атака начинается, когда потенциальная жертва получает текстовое сообщение, звонок робота или переходит по ссылке вредоносной рекламы на Facebook или Instagram. Открыв ссылку, они попадают на страницу, имитирующую магазин приложений App Store или Google Play.

В случае с iOS установка PWA немного отличается от процедуры установки стандартного приложения — пользователю показывается всплывающее окно с инструкциями по установке, имитирующее системное сообщение платформы. Если же пользователь Android установил WebAPK через Google Play, то его бдительность усыпляется тем, что в описании говорится об отсутствии у приложения системных привилегий. В любом случае после установки пользователю предлагается ввести свои учётные данные для доступа к онлайн-банку, и вся введённая информация отправляется на подконтрольный мошенникам сервер.

Новая схема пока применяется преимущественно в Чехии, но уже отмечены инциденты в Венгрии и Грузии. Эксперты по кибербезопасности предполагают, что число подобных инцидентов будет расти, а их география — расширяться.

Apple передумала лишать iOS 17.4 поддержки веб-приложений в ЕС

Apple, которая ранее заявила, что с выходом iOS 17.4 на телефонах в ЕС прекратят поддерживаться прогрессивные веб-приложения (PWA) из-за требований «Закона о цифровых рынках» (DMA), отказалась от этой инициативы. Компания пообещала, что «продолжит предлагать существующие возможности веб-приложений для главного экрана в ЕС».

Решение Apple отключить работу PWA вызвало поток критики в адрес компании, а европейские чиновники сообщили о готовности провести проверку этого решения. Компания же пояснила, что для сохранения этой функции в новых условиях ей придётся создать «совершенно новую архитектуру интеграции, которая в настоящее время в iOS не существует», чтобы решить «сложные вопросы безопасности и конфиденциальности, связанные с веб-приложениями, использующими альтернативные браузерные движки». Apple считала, что проводить эту работу было бы «непрактично с учётом других требований DMA и низкой популярности веб-приложений на главном экране среди пользователей».

Теперь в компании сменили курс и заявили, что iOS 17.4 сохранит поддержку PWA на телефонах в ЕС. «Эта поддержка означает, что веб-приложения на главном экране по-прежнему будут создаваться непосредственно на WebKit и его архитектуре безопасности и соответствовать модели безопасности и конфиденциальности нативных приложений для iOS», — добавили в компании. Иными словами, вне зависимости от того, через какой браузер веб-приложение было добавлено на главный экран, запускаться оно будет только через WebKit.

Apple начала отключать веб-приложения на iPhone в Европе, ссылаясь на безопасность

Apple начала отключать поддержку прогрессивных веб-приложений (Progressive Web Apps — PWA) на iPhone, принадлежащих пользователям из Евросоюза. Такие приложения уже прекратили работать в регионе во всех бета-версиях iOS 17.4, и теперь Apple официально подтвердила, что это был намеренный шаг. С выходом стабильной версии iOS 17.4 поддержку приложений утратят все пользователи из ЕС.

В разделе для разработчиков на своём сайте Apple сообщила, что отключила пользователям из ЕС «приложения для домашнего экрана» (Home Screen web apps), поскольку приведение их в соответствие с «Законом о цифровых рынках» (DMA) потребовало бы «совершенно новой архитектуры интеграции», реализовывать которую при всех нововведениях в регионе было бы «непрактично». Одна из норм DMA требует Apple открыть платформу для браузеров на альтернативных движках.

PWA работают «непосредственно на WebKit» — собственном движке Safari, — что позволяет им «соответствовать модели безопасности и конфиденциальности нативных приложений для iOS». С обновлением до iOS 17.4 добавленные на главный экран сайты превращаются в ярлыки, открывающие новую вкладку в браузере, а не автономные службы с поддержкой push-уведомлений и отображением их наличия на иконках — эту функцию Apple добавила только в прошлом году.

Прогрессивные веб-приложения позволяют хранить данные отдельно от браузера, что удобно, если нужен быстрый доступ к какому-либо сайту, и не нужен постоянный вход в систему. Некоторые службы, например, Facebook Gaming, пользуются форматом веб-приложений для обхода Apple App Store и его комиссий. С появлением в ЕС альтернативных браузерных движков на iOS этот формат, по версии Apple, начал создавать угрозу безопасности: «вредоносные веб-приложения могут считывать данные других веб-приложений, перехватывать их разрешения для получения доступа к камере, микрофону или местоположению пользователя без его согласия». Браузеры также могут устанавливать веб-приложения без ведома пользователя, добавила Apple, хотя на Android они работают уже много лет на всех браузерах.

«Ожидаем, что это изменение коснётся небольшого числа пользователей. Тем не менее, сожалеем о любом влиянии, которое это изменение, внесённое в рамках работы по обеспечению соответствия DMA, может оказать на разработчиков веб-приложений для главного экрана и наших пользователей», — заключила Apple. Ещё одной причиной отключения поддержки этой функции в компании назвали её «очень низкую популярность».


window-new
Soft
Hard
Тренды 🔥
Изучай, расширяй, эксплуатируй, уничтожай: в Steam стартовал фестиваль 4X-стратегий, а Endless Legend 2 получила временную демоверсию 10 ч.
У DeepSeek произошёл масштабный сбой — регистрация новых пользователей ограничена 10 ч.
Microsoft начала тестировать облачные ПК для аварийной замены обычных через Windows 365 10 ч.
Календарь релизов — 11 – 17 августа: The Scouring, Echoes of the End и ремастер W40K: Dawn of War 14 ч.
Mortal Kombat 1 покорила новую вершину продаж и взяла курс на звание «самой сбалансированной» игры серии 14 ч.
«Займёт своё место в пантеоне "Цивилизаций"»: руководство Take-Two не потеряло веру в Sid Meier’s Civilization VII, несмотря на слабый старт продаж 15 ч.
Россияне пожаловались на массовые сбои при звонках в WhatsApp и Telegram 15 ч.
Бывший президент Blizzard предсказал, что Battlefield 6 «раздавит» Call of Duty: Black Ops 7, и все от этого выиграют 19 ч.
Создатели Delta Force анонсировали хоррор-шутер Crossfire: Rainbow — геймплейный трейлер и первые подробности 20 ч.
Раздача кооперативного боевика Guntouchables в Steam превзошла все ожидания разработчиков, но играют меньше 1 % от скачавших 20 ч.
На фоне бума ИИ компания Micron решилась улучшить свой квартальный прогноз 8 мин.
Дань в 15 % позволит Nvidia наладить поставки в Китай более продвинутых чипов с архитектурой Blackwell 3 ч.
Рекомендации для главы Intel от властей США будут направлены на следующей неделе 4 ч.
Новая статья: Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном 9 ч.
«Космический виноград»: древняя галактика сломала представления учёных о процессах в ранней Вселенной 10 ч.
Биткоин приблизился к историческому максимуму, а Ethereum преодолел $4000 12 ч.
SpaceX запустила новую партию интернет-спутников Amazon Project Kuiper — теперь на орбите их 102 из более 3000 13 ч.
Vivo показала свою первую MR-гарнитуру — она похожа на Apple Vision Pro, но гораздо удобнее 14 ч.
Apple выпустит MacBook стоимостью от $599 в следующем году, если слухи верны 14 ч.
Ford сделает электромобили дешевле — первым на платформе Universal EV станет пикап за $30 000 14 ч.