researchers-expose-pwa-javascript

 الهجوم باستخدام PWA وجافا سكريبت

أبحاث علمية حديثة كشفت عن هجوم جديد يستهدف تطبيقات الويب التقدمية (PWA) باستخدام JavaScript لتحويل المستخدمين إلى تطبيقات خادعة لعرض محتوى للبالغين.

تشير التقارير إلى حملة توظيف سكريبتات حقن خبيثة (JavaScript injections) تستهدف زوار الهواتف المحمولة، لتحويلهم إلى PWA مزيف يحتوي على محتوى غير لائق.

وذكر الباحث Himanshu Anand في تحليله يوم الثلاثاء: "بينما نفس الـ payload ليس جديدًا بحد ذاته، إلا أن طريقة التوصيل والهيكل العام توضح نية خبيثة واضحة."

الصفحة المخادعة عبارة عن تطبيق ويب تقدمي مكتمل الوظائف، يبدو مصممًا لجذب المستخدمين لفترة أطول وتجاوز الحماية المعتادة في المتصفحات.

 استهداف الأجهزة المحمولة

تم تصميم هذا الهجوم بذكاء لتجاهل مستخدمي الحواسيب المحمولة والتركيز فقط على مستخدمي الهواتف المحمولة. يتم تنفيذه بالكامل على جانب العميل باستخدام JavaScript تابع لجهة خارجية.

يُستخدم PWA كوسيلة خداع لأنه يوفر تجربة مماثلة لتطبيقات الأجهزة الأصلية مثل Android أو iOS، مما يساعد المهاجمين على تجاوز بعض الحمايات التقليدية.

آلية الهجوم

الهجمات تعتمد على حقن JavaScript داخل مواقع شرعية أو مخترقة، مما يؤدي إلى إعادة توجيه المتصفح إلى صفحات مزيفة تُعرض على أنها تطبيقات للبالغين.

هذه الصفحات تقوم بتحويل المستخدم تلقائيًا إلى صفحة متجر تطبيقات مزيف يدّعي أنه يوفّر تطبيقات فيديو أو بث للبالغين.

أوضح Anand: "استخدام تقنيات PWA يشير إلى أن المهاجمين يسعون لحلول أكثر استدامة وذكاء." وأضاف: "التفريق بين نوع الجهاز (هاتف أو كمبيوتر) يمكّنهم من تفادي تقنيات الحماية المتقدمة بسهولة."