Сегодня 13 октября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → pwa

Мошенники научились обходить защиту Android и iOS при помощи веб-приложений

Создатели фишинговых мошеннических схем нашли способ обходить механизмы, направленные против приложений, которые предназначены для кражи личной информации. Эти меры не работают против прогрессивных веб-приложений (Progressive Web App — PWA), чьи привилегии ниже, и возможности — скромнее.

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

На iOS разрешена установка приложений только из App Store, а на Android по умолчанию можно устанавливать приложения только из Google Play — при попытке использовать другой источник система выводит предупреждение. Обнаруженные за последние девять месяцев фишинговые кампании имеют своей целью обманом заставить жертву установить вредоносное приложение, которое маскируется под официальный банковский клиент. После установки оно крадёт данные учётной записи и в реальном времени отправляет их злоумышленнику через Telegram, предупреждают эксперты компании ESET.

При атаке на пользователей iOS используется традиционное PWA — разработанный злоумышленниками веб-сайт открывается не через браузер, а с имитацией полноценного приложения; пользователей Android в некоторых случаях обманом заставляют устанавливать его особый подвид — WebAPK. Атака начинается, когда потенциальная жертва получает текстовое сообщение, звонок робота или переходит по ссылке вредоносной рекламы на Facebook или Instagram. Открыв ссылку, они попадают на страницу, имитирующую магазин приложений App Store или Google Play.

В случае с iOS установка PWA немного отличается от процедуры установки стандартного приложения — пользователю показывается всплывающее окно с инструкциями по установке, имитирующее системное сообщение платформы. Если же пользователь Android установил WebAPK через Google Play, то его бдительность усыпляется тем, что в описании говорится об отсутствии у приложения системных привилегий. В любом случае после установки пользователю предлагается ввести свои учётные данные для доступа к онлайн-банку, и вся введённая информация отправляется на подконтрольный мошенникам сервер.

Новая схема пока применяется преимущественно в Чехии, но уже отмечены инциденты в Венгрии и Грузии. Эксперты по кибербезопасности предполагают, что число подобных инцидентов будет расти, а их география — расширяться.

Apple передумала лишать iOS 17.4 поддержки веб-приложений в ЕС

Apple, которая ранее заявила, что с выходом iOS 17.4 на телефонах в ЕС прекратят поддерживаться прогрессивные веб-приложения (PWA) из-за требований «Закона о цифровых рынках» (DMA), отказалась от этой инициативы. Компания пообещала, что «продолжит предлагать существующие возможности веб-приложений для главного экрана в ЕС».

Решение Apple отключить работу PWA вызвало поток критики в адрес компании, а европейские чиновники сообщили о готовности провести проверку этого решения. Компания же пояснила, что для сохранения этой функции в новых условиях ей придётся создать «совершенно новую архитектуру интеграции, которая в настоящее время в iOS не существует», чтобы решить «сложные вопросы безопасности и конфиденциальности, связанные с веб-приложениями, использующими альтернативные браузерные движки». Apple считала, что проводить эту работу было бы «непрактично с учётом других требований DMA и низкой популярности веб-приложений на главном экране среди пользователей».

Теперь в компании сменили курс и заявили, что iOS 17.4 сохранит поддержку PWA на телефонах в ЕС. «Эта поддержка означает, что веб-приложения на главном экране по-прежнему будут создаваться непосредственно на WebKit и его архитектуре безопасности и соответствовать модели безопасности и конфиденциальности нативных приложений для iOS», — добавили в компании. Иными словами, вне зависимости от того, через какой браузер веб-приложение было добавлено на главный экран, запускаться оно будет только через WebKit.

Apple начала отключать веб-приложения на iPhone в Европе, ссылаясь на безопасность

Apple начала отключать поддержку прогрессивных веб-приложений (Progressive Web Apps — PWA) на iPhone, принадлежащих пользователям из Евросоюза. Такие приложения уже прекратили работать в регионе во всех бета-версиях iOS 17.4, и теперь Apple официально подтвердила, что это был намеренный шаг. С выходом стабильной версии iOS 17.4 поддержку приложений утратят все пользователи из ЕС.

В разделе для разработчиков на своём сайте Apple сообщила, что отключила пользователям из ЕС «приложения для домашнего экрана» (Home Screen web apps), поскольку приведение их в соответствие с «Законом о цифровых рынках» (DMA) потребовало бы «совершенно новой архитектуры интеграции», реализовывать которую при всех нововведениях в регионе было бы «непрактично». Одна из норм DMA требует Apple открыть платформу для браузеров на альтернативных движках.

PWA работают «непосредственно на WebKit» — собственном движке Safari, — что позволяет им «соответствовать модели безопасности и конфиденциальности нативных приложений для iOS». С обновлением до iOS 17.4 добавленные на главный экран сайты превращаются в ярлыки, открывающие новую вкладку в браузере, а не автономные службы с поддержкой push-уведомлений и отображением их наличия на иконках — эту функцию Apple добавила только в прошлом году.

Прогрессивные веб-приложения позволяют хранить данные отдельно от браузера, что удобно, если нужен быстрый доступ к какому-либо сайту, и не нужен постоянный вход в систему. Некоторые службы, например, Facebook Gaming, пользуются форматом веб-приложений для обхода Apple App Store и его комиссий. С появлением в ЕС альтернативных браузерных движков на iOS этот формат, по версии Apple, начал создавать угрозу безопасности: «вредоносные веб-приложения могут считывать данные других веб-приложений, перехватывать их разрешения для получения доступа к камере, микрофону или местоположению пользователя без его согласия». Браузеры также могут устанавливать веб-приложения без ведома пользователя, добавила Apple, хотя на Android они работают уже много лет на всех браузерах.

«Ожидаем, что это изменение коснётся небольшого числа пользователей. Тем не менее, сожалеем о любом влиянии, которое это изменение, внесённое в рамках работы по обеспечению соответствия DMA, может оказать на разработчиков веб-приложений для главного экрана и наших пользователей», — заключила Apple. Ещё одной причиной отключения поддержки этой функции в компании назвали её «очень низкую популярность».


window-new
Soft
Hard
Тренды 🔥
Пользователи ChatGPT снова могут удалять свои чаты безвозвратно 18 ч.
Арт-директор Halo покинул студию после 17 лет работы и намекнул на проблемы в команде разработчиков 20 ч.
Один из основателей ИИ-стартапа Thinking Machines переметнулся к Марку Цукербергу 22 ч.
Apple завершила поддержку своего бесплатного видеоредактора Clips 24 ч.
Новая статья: CloverPit — добро пожаловать в яму. Рецензия 12-10 00:07
Chrome сам будет блокировать уведомления с сайтов, которые пользователь игнорирует 11-10 14:40
ChatGPT прошёл стресс-тест на политическую предвзятость, но не безупречно 11-10 14:24
Telegram получил большое обновление: переписки в групповых звонках, комментарии к профилям и другие нововведения 11-10 11:57
Apple купит технологии компьютерного зрения и специалистов стартапа Prompt AI за «некоторую сумму» 11-10 11:01
На Apple подали в суд за обучение ИИ на пиратских копиях книг 11-10 08:06
Тайвань заявил, что не зависит от китайских редкоземельных металлов 2 ч.
Вложи $5 млн — получи $75 млн: NVIDIA похвасталась новыми рекордами в комплексном бенчмарке InferenceMAX v1 6 ч.
Новая статья: Обзор материнской платы MSI MPG B850I Edge Ti WiFi: не называй меня малышкой 6 ч.
Арест за арестом: причиной возгорания в правительственном ЦОД Южной Кореи могло стать не отключенное вовремя резервное питание 15 ч.
Graphcore, спасённая SoftBank, воспрянула духом — штат в Великобритании удвоится, а в разработку в Индии инвестируют $1 млрд 15 ч.
В наши дни все высокопроизводительные вычисления связаны с ИИ, как считает глава AMD Лиза Су 22 ч.
Производство чипов в наши дни требует атомарной точности, как утверждает Applied Materials 23 ч.
Обострение между США и Китаем грозит серьёзным ударом по мировой индустрии чипов 24 ч.
Кембриджский университет запустил проект по спасению данных со старых дискет 12-10 00:31
Китай грозит отправить США в рецессию — новые санкции на редкоземельные металлы ударят по ИИ 11-10 23:34