Сегодня 21 ноября 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → pwa

Мошенники научились обходить защиту Android и iOS при помощи веб-приложений

Создатели фишинговых мошеннических схем нашли способ обходить механизмы, направленные против приложений, которые предназначены для кражи личной информации. Эти меры не работают против прогрессивных веб-приложений (Progressive Web App — PWA), чьи привилегии ниже, и возможности — скромнее.

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

На iOS разрешена установка приложений только из App Store, а на Android по умолчанию можно устанавливать приложения только из Google Play — при попытке использовать другой источник система выводит предупреждение. Обнаруженные за последние девять месяцев фишинговые кампании имеют своей целью обманом заставить жертву установить вредоносное приложение, которое маскируется под официальный банковский клиент. После установки оно крадёт данные учётной записи и в реальном времени отправляет их злоумышленнику через Telegram, предупреждают эксперты компании ESET.

При атаке на пользователей iOS используется традиционное PWA — разработанный злоумышленниками веб-сайт открывается не через браузер, а с имитацией полноценного приложения; пользователей Android в некоторых случаях обманом заставляют устанавливать его особый подвид — WebAPK. Атака начинается, когда потенциальная жертва получает текстовое сообщение, звонок робота или переходит по ссылке вредоносной рекламы на Facebook или Instagram. Открыв ссылку, они попадают на страницу, имитирующую магазин приложений App Store или Google Play.

В случае с iOS установка PWA немного отличается от процедуры установки стандартного приложения — пользователю показывается всплывающее окно с инструкциями по установке, имитирующее системное сообщение платформы. Если же пользователь Android установил WebAPK через Google Play, то его бдительность усыпляется тем, что в описании говорится об отсутствии у приложения системных привилегий. В любом случае после установки пользователю предлагается ввести свои учётные данные для доступа к онлайн-банку, и вся введённая информация отправляется на подконтрольный мошенникам сервер.

Новая схема пока применяется преимущественно в Чехии, но уже отмечены инциденты в Венгрии и Грузии. Эксперты по кибербезопасности предполагают, что число подобных инцидентов будет расти, а их география — расширяться.

Apple передумала лишать iOS 17.4 поддержки веб-приложений в ЕС

Apple, которая ранее заявила, что с выходом iOS 17.4 на телефонах в ЕС прекратят поддерживаться прогрессивные веб-приложения (PWA) из-за требований «Закона о цифровых рынках» (DMA), отказалась от этой инициативы. Компания пообещала, что «продолжит предлагать существующие возможности веб-приложений для главного экрана в ЕС».

Решение Apple отключить работу PWA вызвало поток критики в адрес компании, а европейские чиновники сообщили о готовности провести проверку этого решения. Компания же пояснила, что для сохранения этой функции в новых условиях ей придётся создать «совершенно новую архитектуру интеграции, которая в настоящее время в iOS не существует», чтобы решить «сложные вопросы безопасности и конфиденциальности, связанные с веб-приложениями, использующими альтернативные браузерные движки». Apple считала, что проводить эту работу было бы «непрактично с учётом других требований DMA и низкой популярности веб-приложений на главном экране среди пользователей».

Теперь в компании сменили курс и заявили, что iOS 17.4 сохранит поддержку PWA на телефонах в ЕС. «Эта поддержка означает, что веб-приложения на главном экране по-прежнему будут создаваться непосредственно на WebKit и его архитектуре безопасности и соответствовать модели безопасности и конфиденциальности нативных приложений для iOS», — добавили в компании. Иными словами, вне зависимости от того, через какой браузер веб-приложение было добавлено на главный экран, запускаться оно будет только через WebKit.

Apple начала отключать веб-приложения на iPhone в Европе, ссылаясь на безопасность

Apple начала отключать поддержку прогрессивных веб-приложений (Progressive Web Apps — PWA) на iPhone, принадлежащих пользователям из Евросоюза. Такие приложения уже прекратили работать в регионе во всех бета-версиях iOS 17.4, и теперь Apple официально подтвердила, что это был намеренный шаг. С выходом стабильной версии iOS 17.4 поддержку приложений утратят все пользователи из ЕС.

В разделе для разработчиков на своём сайте Apple сообщила, что отключила пользователям из ЕС «приложения для домашнего экрана» (Home Screen web apps), поскольку приведение их в соответствие с «Законом о цифровых рынках» (DMA) потребовало бы «совершенно новой архитектуры интеграции», реализовывать которую при всех нововведениях в регионе было бы «непрактично». Одна из норм DMA требует Apple открыть платформу для браузеров на альтернативных движках.

PWA работают «непосредственно на WebKit» — собственном движке Safari, — что позволяет им «соответствовать модели безопасности и конфиденциальности нативных приложений для iOS». С обновлением до iOS 17.4 добавленные на главный экран сайты превращаются в ярлыки, открывающие новую вкладку в браузере, а не автономные службы с поддержкой push-уведомлений и отображением их наличия на иконках — эту функцию Apple добавила только в прошлом году.

Прогрессивные веб-приложения позволяют хранить данные отдельно от браузера, что удобно, если нужен быстрый доступ к какому-либо сайту, и не нужен постоянный вход в систему. Некоторые службы, например, Facebook Gaming, пользуются форматом веб-приложений для обхода Apple App Store и его комиссий. С появлением в ЕС альтернативных браузерных движков на iOS этот формат, по версии Apple, начал создавать угрозу безопасности: «вредоносные веб-приложения могут считывать данные других веб-приложений, перехватывать их разрешения для получения доступа к камере, микрофону или местоположению пользователя без его согласия». Браузеры также могут устанавливать веб-приложения без ведома пользователя, добавила Apple, хотя на Android они работают уже много лет на всех браузерах.

«Ожидаем, что это изменение коснётся небольшого числа пользователей. Тем не менее, сожалеем о любом влиянии, которое это изменение, внесённое в рамках работы по обеспечению соответствия DMA, может оказать на разработчиков веб-приложений для главного экрана и наших пользователей», — заключила Apple. Ещё одной причиной отключения поддержки этой функции в компании назвали её «очень низкую популярность».


window-new
Soft
Hard
Тренды 🔥
Обновления Windows 11 больше не будут перезагружать ПК, но обычных пользователей это не касается 12 мин.
VK похвасталась успехами «VK Видео» на фоне замедления YouTube 2 ч.
GTA наоборот: полицейская песочница The Precinct с «дозой нуара 80-х» не выйдет в 2024 году 4 ч.
D-Link предложила устранить уязвимость маршрутизаторов покупкой новых 5 ч.
Valve ужесточила правила продажи сезонных абонементов в Steam и начнёт следить за выполнением обещаний разработчиков 5 ч.
Австралия представила беспрецедентный законопроект о полном запрете соцсетей для детей до 16 лет 6 ч.
Биткоин приближается к $100 000 — курс первой криптовалюты установил новый рекорд 6 ч.
В открытых лобби Warhammer 40,000: Space Marine 2 запретят играть с модами, но есть и хорошие новости 7 ч.
Apple попросила суд отклонить антимонопольный иск Минюста США 7 ч.
Битва за Chrome: Google рассказала об ужасных последствиях отчуждения браузера для США и инноваций 7 ч.
Meta планирует построить за $5 млрд кампус ЦОД в Луизиане 5 мин.
Arm задаёт новый стандарт для ПК, чтобы навязать конкуренцию x86 19 мин.
HPE готова ответить на любые вопросы Минюста США по расследованию покупки Juniper за $14 млрд 25 мин.
Thermaltake представила компактный, но вместительный корпус The Tower 250 для игровых систем на Mini-ITX 2 ч.
Флагманы Oppo Find X8 и X8 Pro на Dimensity 9400 стали доступны не только в Китае — старший оценили в €1149 3 ч.
«ВКонтакте» выросла до 88,1 млн пользователей — выручка VK взлетела на 21,4 % на рекламе 3 ч.
«Квантовые жёсткие диски» стали ближе к реальности благодаря разработке австралийских учёных 4 ч.
Электромобили станут более автономными и долговечными: Honda через несколько лет стартует массовый выпуск твердотельных батарей 4 ч.
Большой планшет Oppo Pad 3 Pro вышел на глобальный рынок за €600 4 ч.
Гигантские ракеты SpaceX Starship смогут летать в пять раз чаще с 2025 года 4 ч.