Прогрессивный фишинг веб-приложений (PWA)

D2

D2

Администратор
Регистрация
19 Фев 2025
Сообщения
4,380
Реакции
0

Сценарий атаки​

Пользователь попадает на index.html и нажимает кнопку "Установить приложение Microsoft". Появится приглашение установить приложение, и как только оно будет установлено пользователем, JavaScript, встроенный в index.html перенаправляет окно PWA на фишинговую страницу, которая имеет поддельную строку URL вверху (т.Е. mrd0x.html). Убедитесь, что вы тестируете это по протоколу HTTPS, чтобы избежать возникновения проблем.

ДЕМОНСТРАЦИЯ​

demo.gif



Фишинг с помощью прогрессивных веб-приложений и манипулирование пользовательским интерфейсом.

Введение​

Прогрессивные веб-приложения или PWA - это приложения, созданные с использованием веб-технологий (например, HTML, CSS, JavaScript), которые могут быть установлены и вести себя аналогично собственным приложениям. PWA лучше интегрируются с операционной системой (У них есть собственный значок приложения, они могут отправлять push-уведомления) и, следовательно, могут повысить вовлеченность веб-сайтов. Проблема с PWA заключается в том, что возможно манипулирование пользовательским интерфейсом в целях фишинга, о чем я расскажу в этой статье

Требования к PWA​

Прежде чем показывать сценарий атаки с использованием PWA, нам нужно понять, как его создать. Не стесняйтесь пропустить этот раздел, поскольку я предоставляю рабочий шаблон на моем GitHub для тестирования в конце этого поста. На базовом уровне для PWA требуются следующие файлы:
  1. Файл манифеста - манифест представляет собой файл JSON, который предоставляет метаданные о веб-приложении. Он позволяет установить приложение на начальном экране пользователя.
JavaScript: Скопировать в буфер обмена
Код: 
{
  "name": "Microsoft Login",
  "short_name": "Microsoft",
  "start_url": "/",
  "display": "standalone",
  "background_color": "#ffffff",
  "theme_color": "#000000",
  "icons": [
    {
      "src": "/images/icons/icon-192x192.png",
      "sizes": "192x192",
      "type": "image/png"
    },
    {
      "src": "/images/icons/icon-512x512.png",
      "sizes": "512x512",
      "type": "image/png"
    }
  ]
}
  1. Service Worker - скрипт, который браузер запускает в фоновом режиме. Используется для включения автономных функций, push-уведомлений и фоновой синхронизации.
JavaScript: Скопировать в буфер обмена
Код: 
self.addEventListener('install', (event) => {
  event.waitUntil(
    caches.open('v1').then((cache) => {
      return cache.addAll([
        '/',
        '/index.html',
        '/styles.css',
        '/app.js',
        '/images/icons/icon-192x192.png',
        '/images/icons/icon-512x512.png'
      ]);
    })
  );
});

self.addEventListener('fetch', (event) => {
  event.respondWith(
    caches.match(event.request).then((response) => {
      return response || fetch(event.request);
    })
  );
});
  1. HTML-файл - основной HTML-файл связывает манифест и регистрирует service worker.
HTML: Скопировать в буфер обмена
Код: 
<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <meta name="viewport" content="width=device-width, initial-scale=1.0">
  <link rel="manifest" href="/manifest.json">
  <title>Example PWA</title>
</head>
<body>
  <script>
    if ('serviceWorker' in navigator) {
      navigator.serviceWorker.register('/service-worker.js')
      .then((registration) => {
        console.log('Service Worker registered with scope:', registration.scope);
      }).catch((error) => {
        console.error('Service Worker registration failed:', error);
      });
    }
  </script>
</body>
</html>

  1. Стили и скрипты - любые дополнительные файлы CSS и JavaScript для корректной работы PWA.

Сценарий атаки​

Теперь, когда мы понимаем, как создается файл PWA, мы можем начать использовать его для фишинга. Мы выполним следующий сценарий атаки:

  1. Жертва получает доступ к веб-сайту, контролируемому злоумышленником.
  2. Жертва нажимает кнопку “Установить приложение Microsoft”.
  3. В браузере появляется всплывающее окно с просьбой к пользователю установить приложение. Мы можем назвать наше приложение как угодно, например “Microsoft Login” или “login.microsoftonline.com”. Имейте в виду, что наше настоящее доменное имя будет указано под ним более мелким шрифтом.
  4. Жертва устанавливает приложение.
  5. После успешной установки перенаправьте окно PWA на фишинговую страницу с поддельной строкой URL, прикрепленной в верхней части страницы.
Излишне говорить, что этот сценарий может быть адаптирован для любой другой компании, кроме Microsoft.

Шаг 1 - Настройка целевой страницы​

Мы начинаем с создания нашей целевой страницы с кнопки “Установить приложение Microsoft”.

1724003022107.png



Шаг 2 - Установка приложения​

При нажатии кнопки “Установить приложение Microsoft” пользователю предлагается установить наше приложение PWA.
  • Название приложения - “Microsoft Login".
  • Логотип Microsoft - это значок нашего приложения, который устанавливается в файле манифеста.
1724003057626.png



Шаг 3 - Перенаправление​

После успешной установки приложения перенаправляйте пользователя на фишинговую страницу с поддельным URL-адресом.

Значок приложения​

Обратите внимание, что значок приложения заменен логотипом Microsoft, что делает его более реалистичным.

1724003206855.png



Заключение​

Как мы видели, PWA открывают путь для манипуляций с пользовательским интерфейсом, которые могут заставить пользователей поверить, что они находятся на другом веб-сайте. У этого метода явно есть некоторые недостатки, такие как требование от целевого пользователя установить приложение. Кроме того, в окне PWA в правом верхнем углу ненадолго отображается фактическое доменное имя. Однако я полагаю, что привычка людей проверять строку URL приведет к тому, что они будут игнорировать это доменное имя (для этого требуется осведомленность о безопасности).

Спойлер: Скачать
View hidden content is available for registered users!

View hidden content is available for registered users!
 
Войдите или зарегистрируйтесь для ответа.
Сверху Снизу