{"id":22719,"date":"2024-06-28T16:11:42","date_gmt":"2024-06-28T19:11:42","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=22719"},"modified":"2024-06-28T16:11:42","modified_gmt":"2024-06-28T19:11:42","slug":"phishing-with-progressive-web-apps","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/phishing-with-progressive-web-apps\/22719\/","title":{"rendered":"Phishing progressivo: como os PWAs podem ser usados para roubar senhas"},"content":{"rendered":"

Um pesquisador de seguran\u00e7a conhecido como mr.d0x<\/em> publicou uma post<\/a> detalhando uma nova t\u00e9cnica que pode ser usada para phishing e outras atividades potencialmente maliciosas. A t\u00e9cnica explora os chamados aplicativos progressivos da web (PWAs). Neste artigo, discutimos o que s\u00e3o esses aplicativos, por que eles podem ser perigosos, como os invasores podem us\u00e1-los para seus pr\u00f3prios prop\u00f3sitos e como se proteger<\/a> contra essa amea\u00e7a.<\/p>\n

O que s\u00e3o aplicativos progressivos da web?<\/h2>\n

Os PWAs s\u00e3o aplicativos desenvolvidos usando tecnologias da web. Basicamente, s\u00e3o sites que parecem e funcionam exatamente como aplicativos nativos instalados em seu sistema operacional.<\/p>\n

A ideia geral \u00e9 semelhante aos aplicativos criados na estrutura Electron<\/a>, com uma diferen\u00e7a fundamental. Os aplicativos Electron s\u00e3o como um \u201csandu\u00edche\u201d de um site (o recheio) e um navegador (o p\u00e3o) dedicado \u00e0 execu\u00e7\u00e3o desse site; ou seja, cada aplicativo Electron tem um navegador integrado. Diferentemente, os PWAs utilizam o mecanismo do navegador j\u00e1 instalado no sistema do usu\u00e1rio para exibir o mesmo site \u2013 como um sandu\u00edche sem o p\u00e3o.<\/p>\n

Todos os navegadores modernos s\u00e3o compat\u00edveis com PWAs, com os navegadores Google Chrome e baseados em Chromium (incluindo o navegador Microsoft Edge que vem com o Windows) oferecendo a implementa\u00e7\u00e3o mais abrangente.<\/p>\n

Instalar um PWA (se o respectivo site for compat\u00edvel) \u00e9 muito simples. Basta clicar em um bot\u00e3o discreto na barra de endere\u00e7os do navegador e confirmar a instala\u00e7\u00e3o. Veja como isso \u00e9 feito, usando o PWA do Google Drive como exemplo:<\/p>\n

\"Como<\/a>

Instalar PWAs leva apenas dois cliques<\/p><\/div>\n

Depois disso, o PWA aparece no seu sistema quase instantaneamente, parecendo um aplicativo real \u2014 com um \u00edcone, sua pr\u00f3pria janela e todos os outros atributos de um programa completo. N\u00e3o \u00e9 f\u00e1cil dizer pela janela do PWA que, na verdade, \u00e9 um navegador que exibe um site.<\/p>\n

\"Aplicativos<\/a>

O PWA do Google Drive se parece com um aplicativo nativo real<\/p><\/div>\n

Phishing baseado em PWA<\/h2>\n

Uma diferen\u00e7a crucial entre um PWA e o mesmo site aberto num navegador \u00e9 evidente na captura de tela acima: a janela do PWA n\u00e3o tem uma barra de endere\u00e7os. Esse mesmo recurso forma a base do m\u00e9todo de phishing discutido neste post.<\/p>\n

Sem a barra de endere\u00e7os na janela, os invasores podem simplesmente desenhar suas pr\u00f3prias, exibindo um URL que atende \u00e0s suas metas de phishing. Por exemplo, assim:<\/p>\n

\"PWA<\/a>

Com um PWA, voc\u00ea pode imitar de forma convincente qualquer site, por exemplo, a p\u00e1gina de login da conta da Microsoft. Fonte<\/a><\/p><\/div>\n

Os criminosos podem aumentar ainda mais a decep\u00e7\u00e3o dando ao PWA um \u00edcone familiar.<\/p>\n

O \u00fanico obst\u00e1culo restante \u00e9 convencer a v\u00edtima a instalar o PWA. No entanto, isso pode ser facilmente alcan\u00e7ado com uma linguagem persuasiva e elementos de interface inteligentemente projetados.<\/p>\n

\u00c9 importante observar que, durante a caixa de di\u00e1logo de instala\u00e7\u00e3o do PWA, o nome do aplicativo exibido pode ser qualquer coisa que o invasor desejar. A verdadeira origem s\u00f3 \u00e9 revelada pelo endere\u00e7o do site na segunda linha, que \u00e9 menos percept\u00edvel:<\/p>\n

\"Caixa<\/a>

A caixa de di\u00e1logo de instala\u00e7\u00e3o do PWA malicioso exibe um nome que ajuda o invasor. Fonte<\/a><\/p><\/div>\n

O processo de roubar uma senha usando um PWA geralmente se desenrola da seguinte forma:<\/p>\n