{"id":31377,"date":"2024-06-25T11:20:29","date_gmt":"2024-06-25T09:20:29","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=31377"},"modified":"2024-06-25T11:20:29","modified_gmt":"2024-06-25T09:20:29","slug":"phishing-with-progressive-web-apps","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/phishing-with-progressive-web-apps\/31377\/","title":{"rendered":"Progressive Phishing: So werden Passw\u00f6rter mittels PWAs abgegriffen"},"content":{"rendered":"

Ein Sicherheitsforscher namens mr.d0x<\/em> hat einen Beitrag<\/a> ver\u00f6ffentlicht, in dem eine neue Technik beschrieben wird, die f\u00fcr Phishing und weitere potenziell b\u00f6sartige Aktivit\u00e4ten verwendet werden kann. Die Technik st\u00fctzt sich dabei auf das Ausnutzen sogenannter Progressive Web Apps (PWAs). In diesem Beitrag erf\u00e4hrst du, was das eigentlich f\u00fcr Programme sind, warum sie gef\u00e4hrlich sein k\u00f6nnen und wie ein Angreifer sie f\u00fcr seine eigenen Zwecke ausnutzen kann. Zus\u00e4tzlich geben wir dir ein paar Tipps mit auf den Weg, damit du dich vor dieser Bedrohung sch\u00fctzen kannst<\/a>.<\/p>\n

Was sind Progressive Web\u00a0Apps?<\/h2>\n

Progressive Web\u00a0Apps oder PWAs sind Anwendungen, bei deren Entwicklung und Ausf\u00fchrung auf Web-Technologien gesetzt wird. Im Grunde handelt es sich dabei einfach um Websites, die aber genauso aussehen und funktionieren wie die native Programme, die du auf deinem Betriebssystem installiert hast.<\/p>\n

Die Grundidee ist dabei dem Ansatz der auf dem Electron-Framework basierenden Apps <\/a>nicht un\u00e4hnlich, wobei es aber einen wesentlichen Unterschied gibt. Electron-Apps sind gewisserma\u00dfen \u201eSandwich\u201c-Apps, bestehend aus einer Website (F\u00fcllung) und einem Browser (Brot). Da letzterer f\u00fcr die Darstellung der Website-F\u00fcllung erforderlich ist, verf\u00fcgt jede Electron-App \u00fcber einen integrierten Browser. Im Gegensatz dazu verwendet eine PWA zum Darstellen der gleichen Website die Funktionen des Browses, der bereits auf dem System des Benutzers installiert sind\u00a0\u2013 quasi ein Sandwich ohne Brot.<\/p>\n

PWAs werden von allen modernen Browser unterst\u00fctzt, wobei Google\u00a0Chrome und die Browser auf Chromium-Basis (einschlie\u00dflich dem in Windows integrierten Microsoft\u00a0Edge) die umfassendste Implementierung bieten.<\/p>\n

Die Installation einer PWA (sofern von der entsprechenden Website unterst\u00fctzt) geht dabei naturgem\u00e4\u00df sehr schnell und einfach von der Hand. Es gen\u00fcgt, eine unauff\u00e4llige Schaltfl\u00e4che in der Adressleiste deines Browsers anzuklicken und die Installation anschlie\u00dfend zu best\u00e4tigen. Beispielhaft ist dies hier f\u00fcr die PWA von Google\u00a0Drive dargestellt:<\/p>\n

\"So<\/a>

F\u00fcr die Installation einer PWA sind zwei Klicks ausreichend<\/p><\/div>\n

\u00a0<\/p>\n

Anschlie\u00dfend erscheint die PWA nahezu umgehend auf deinem System und sieht dabei so aus, als w\u00e4re es \u201eechte\u201c Anwendung\u00a0\u2013 mit eigenem Programmsymbol, eigenem Fenster und allen anderen Eigenschaften einer vollwertigen Desktop-Anwendung. Allein am Fenster einer PWA l\u00e4sst sich nur schwer erkennen, dass es sich eigentlich nur um einen Browser handelt, in dem eine Website anzeigt wird.<\/p>\n

\"So<\/a>

Die PWA von Google Drive sieht aus wie eine vollwertige Desktop-App.<\/p><\/div>\n

\u00a0<\/p>\n

So funktioniert das Phishing mittels PWAs<\/h2>\n

Ein entscheidender Unterschied zwischen einer PWA und der im Browser ge\u00f6ffneten gleichen Website wird im obigen Screenshot deutlich: Im Fenster der PWA fehlt die Adressleiste. Genau diese Eigenschaft bildet die Grundlage f\u00fcr die Phishing-Methode in diesem Beitrag.<\/p>\n

Da im Fenster keine Adressleiste vorhanden ist, k\u00f6nnen Angreifer einfach eine eigene URL erstellen order irgendeine URL anzeigen, die gut zu ihren Phishing-Zielen passt. Zum Beispiel die folgende:<\/p>\n

\"PWA<\/a>

Mit einer PWA k\u00f6nnen Sie jede Seite \u00fcberzeugend nachahmen \u2013 etwa der Anmeldeseite f\u00fcr das Microsoft-Konto. Quelle<\/a>[\/<\/p><\/div>\n

Angreifer k\u00f6nnen die T\u00e4uschung intensivieren, indem sie f\u00fcr die PWA ein bekanntes Symbol verwenden.<\/p>\n

Die einzige verbleibende H\u00fcrde besteht darin, das Opfer von der Installation der PWA zu \u00fcberzeugen. Dies kann jedoch durch den Gebrauch von \u00fcberzeugender Sprache und durchdacht platzierten Elementen in der Benutzeroberfl\u00e4che leicht erreicht werden.<\/p>\n

Selbst der App-Name, der eigentlich im Installationsdialog der PWA angezeigt wird, kann von Angreifern beliebig gew\u00e4hlt werden. Die wahre Herkunft wird lediglich durch die Website-Adresse in der zweiten, weit weniger auff\u00e4lligen Zeile ersichtlich:<\/p>\n

\"Installationsdialog<\/a>

F\u00fcr die Installation einer b\u00f6sartigen PWA k\u00f6nnen Angreifer den angezeigten Namen frei w\u00e4hlen. Quelle<\/a>[\/<\/p><\/div>\n

Der Kennwortdiebstahl mittels PWA l\u00e4uft im Allgemeinen in folgenden Schritten ab:<\/p>\n