Blog

Um novo perigo dos Progressive Web Apps que poucos conhecem

O aumento na adoção de PWAs traz um aumento nos riscos de segurança do lado do cliente. E a indústria? Mal está falando sobre isso.

Dec 20, 2024 • 3 min read

Simon Wijckmans Founder & CEO

Os Progressive Web Apps (PWAs) revolucionaram a forma como construímos e entregamos aplicações. Não é de se admirar que tenham ganhado tração. Eles simplificam o desenvolvimento, combinando a flexibilidade da web com as capacidades do mobile. Recursos como acesso offline, notificações push e integração com hardware... tudo embrulhado na conveniência de um navegador. Com atualizações como as do iOS 16.4 em 2023, incorporar capacidades de navegador em apps é mais fácil do que nunca, impulsionando a nova onda de adoção de PWAs.

Mas há um outro lado. Com sua ascensão vem um aumento nos riscos de segurança do lado do cliente. E a indústria? Mal está falando sobre isso.

Captura mostrando o Tinder como Progressive Web App — O app Tinder é um PWA.

PWAs são navegadores

Em sua essência, PWAs são navegadores. Eles transformam cada app em um micro-ambiente web. Esse é o seu poder—eles carregam instantaneamente, reutilizam código de sites e se conectam a serviços web perfeitamente. No entanto, essa mesma arquitetura também os expõe às vulnerabilidades da web, especialmente riscos do lado do cliente ligados a scripts de terceiros.

Sites modernos dependem desses scripts para tudo, desde analytics até ferramentas de engajamento. Embora convenientes, eles expandem massivamente sua superfície de ataque. Em um PWA, esses mesmos scripts rodam diretamente no app, amplificando riscos como vazamentos de dados, injeções maliciosas e muito mais.

Seu risco não está mais limitado aos visitantes do site; ele se estende a cada usuário do app.

Mantenha a cadeia de suprimentos da web em mente

O lado do cliente é a parada final na cadeia. É onde seu código, tanto de primeira quanto de terceiros, carrega no navegador ou PWA do usuário.

Scripts de terceiros provenientes de fornecedores externos são integrais, mas frequentemente ficam fora do seu controle, tornando-os alvos principais para atacantes. Desde scripts de analytics comprometidos vazando dados de usuários até código malicioso injetado em chatbots, o lado do cliente está sob ameaça constante.

Construir um PWA apenas amplifica esses riscos ao trazê-los para dentro do seu app.

PWAs não são ruins

Com tudo isso dito, não defendemos contra o uso de PWAs. Dependendo das suas necessidades, eles provavelmente são a escolha mais inteligente. Apenas não ignore os desafios de segurança que eles trazem. Infelizmente, vulnerabilidades do lado do cliente, especialmente de scripts de terceiros, são frequentemente ignoradas.

Construímos o cside, uma ferramenta de monitoramento e segurança de scripts de terceiros. Isso resolve todos esses problemas tanto em ambientes web quanto PWA. Instale agora mesmo, ou fale conosco - teremos muito prazer em ajudá-lo a começar.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Progressive Web Apps podem ser instalados silenciosamente e pedir capacidades semelhantes às de um app nativo. Um PWA malicioso pode enviar notificações push, rodar em segundo plano e se passar por marcas confiáveis de forma muito mais convincente que uma página comum.

Monitore os scripts de terceiros para que um atacante não consiga injetar um manifest ou registrar um service worker. A cside detecta novos comportamentos de scripts e workers no cliente, a única camada onde esse risco é visível.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

GDPR e Jogo Online: Por Que Razão os Pixels Não Autorizados Criam um Problema de Responsabilidade Dupla

Pixels não autorizados em sites de jogo criam responsabilidade GDPR e suspensão de contas de anúncios ao mesmo tempo, mesmo sem instalação.

Como Bloquear o Bytespider (o Crawler de IA do TikTok)

O Bytespider rastreia o seu site para os sistemas de IA da Bytedance. Saiba como bloqueá-lo com robots.txt e intervalos de IP, e as principais preocupações de soberania de dados.

Capa escura do blog com três métodos de ataque de scripts maliciosos em casinos: redirects disparados no browser, shadow GTM containers com tags maliciosas e payloads móveis geo-direccionados

Como Scripts Maliciosos Sequestram as Jornadas dos Jogadores em Casinos Online

Scripts injectados redirecionam jogadores de casino antes do lobby. As ferramentas de rede não os detectam. Eis como a detecção deve funcionar.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre segurança de scripts para operadores de jogos na APAC

Segurança de scripts client-side para operadores de jogo online na região APAC

Como operadores de jogo online APAC no Japão, Singapura, Filipinas e Austrália podem monitorizar scripts de terceiros em sessões reais.

Como Bloquear o Amazon Buy for Me no Seu Site

O Amazon Buy for Me compra no seu site em nome de utilizadores Prime. Saiba como recolhe dados de preços e produtos e como a deteção na camada do navegador lhe dá controlo.

Prevenção de account takeover: o playbook completo de 2026

O playbook operativo de ATO para 2026: um modelo integral para login, recuperação, sessão e defesa post-auth contra a apropriação impulsionada por agentes IA e bots.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre scripts de afiliados comprometidos que roubam receita de cassinos

Como Scripts de Afiliados Comprometidos Roubam Receita de Casinos Online

Scripts de afiliados comprometidos redirecionam jogadores e roubam comissões em páginas de casino, de forma silenciosa e em escala.

Capa escura do blog com três vectores de ataque de browser extensions: redirecionamentos para clones de phishing, roubo de token de sessão e reescrita de campos de pagamento no DOM

Como as Browser Extensions Atacam Jogadores de Casinos Online: O Que os Operadores Podem Fazer

As browser extensions roubam tokens de sessão e sequestram pagamentos em casinos. Como detectar estes ataques que os servidores não vêem.

Como Bloquear a Criação de Contas Falsas com IA

Agentes de IA criam contas falsas com comportamento humano que derrota o CAPTCHA. Aprenda os sinais na camada do navegador que expõem os registos automatizados.

Como Bloquear o CCBot (o Crawler de IA da Common Crawl)

O CCBot alimenta os conjuntos de dados da Common Crawl usados para treinar o GPT-3, o BLOOM, o LLaMA e muitos outros modelos de IA. Saiba como bloqueá-lo e o que o bloqueio realmente faz.