Progressive Web Apps (PWA) 是通过浏览器使用应用程序而无需下载它们的好方法。使用常见的 Web 开发技术,可以创建适用于 Android 和 iPhone 的应用程序 - 并且不必从官方应用商店下载。出于这个原因,我们想谈谈如何保护自己免受恶意 Web 应用程序的侵害。
然而,最近的研究发现,一些黑客正在利用 iOS 和 Android 处理这些应用程序的方式的弱点。这些缺陷允许恶意 PWA 绕过安全措施。Google 和 Apple 对通过其应用商店下载的应用程序执行严格的规则,但这些安全措施并未完全涵盖基于 Web 的应用程序。因此,黑客开发了允许 PWA 在未经适当授权的情况下访问您手机的数据和功能的技术。
恶意渐进式 Web 应用程序如何运作?PWA 旨在像本机应用程序一样运行,但在 Internet 上运行,有点像应用程序中内置的网站功能。这意味着它们不需要从应用商店安装,因此无需经过适当的安全检查。
黑客可以创建看起来合法的 PWA。但旨在利用您的手机管理基于 Web 的应用程序的方式中的漏洞。可以编写恶意 PWA 以访问个人数据,甚至在您的设备上下载并安装其他恶意软件。
请注意,并非所有 PWA 都是危险的。但重要的是要了解商店中的应用程序和基于 Web 的替代方案之间的区别以及与 PWA 相关的潜在风险。
这个技巧是如何运作的?为了访问您最有价值、最敏感的数据,黑客必须诱骗受害者安装看似官方的 PWA。安全研究人员发现了一个骗局,受害者被诱骗安装看起来像官方银行应用程序的 PWA。
黑客正在使用看起来与 Google Play 商店一模一样的网络钓鱼网站和横幅广告来欺骗用户从非官方来源下载应用程序。安装后,这些 PWA 会窃取受害者银行账户的登录详细信息,使犯罪分子能够访问银行账户内容。
如何保持安全PWA 本身并不是坏事,但您需要注意一些风险。以下是使用 PWA 时保持安全的一些提示:
坚持使用可信来源仅使用来自受信任网站和公司的 PWA。避免使用提供 PWA 的未知站点和可疑横幅广告,尤其是那些在安装过程中要求太多权限的站点。
定期更新您的手机使手机的操作系统和浏览器保持最新状态。Google 和 Apple 都会定期发布更新来修补安全漏洞,包括被恶意 PWA 利用的漏洞。
限制权限当 Web 应用程序请求过多的权限时要注意,例如访问您的联系人、位置或相机。您的银行应用程序真的需要访问地址簿吗?如果您不确定,请拒绝权限。
使用移动恶意软件扫描应用程序考虑安装像 Panda Dome这样信誉良好的安全应用程序 ,它可以扫描 PWA 以检测和修复安全问题和恶意软件感染。
结论PWA 是常规应用程序的有用替代品。但是,随着黑客找到利用这些系统的新方法,了解所涉及的风险至关重要。 我们在此处概述的提示将使您能够享受 PWA 的便利,而不会使您的设备和个人数据处于风险之中。
熊猫免费杀毒下载地址:https://download.pandasecurity.com/thankyou/index.php?productID=FREEAV&interstitial=0&track=190530
发表于 2024-9-21 14:41:43