基于权限控制和脚本检测的Webview漏洞防护方案研究

文章通过研究Webview漏洞的形成机理,获悉漏洞是由程序调用了不安全的系统API且未对Java反射机制进行防范而产生的。目前,Webview漏洞的检测方法主要是基于黑盒测试思想,准确率不高。文章提出了一种结合静态分析和动态分析的检测方法 :通过静态分析对不安全函数进行定位,通过动态分析对不安全函数进行测试,能有效、精确地检测出Webview漏洞。同时,文章研究了Google公司提出的Webview漏洞防护方案,指出该方案存在的三大防护缺陷,并提出了一种基于权限控制和脚本检测的漏洞防护方法,该方法通过权限控制严格限制了访问者的权限上限,并及时向用户反馈情况;通过脚本检测区别出安全脚本和恶意脚本,在未削弱Webview组件能力的前提下,提高了漏洞防护能力。最后,文章设计了一组实验,对比了未添加Webview防护的程序和添加了Webview防护的程序对恶意代码的执行结果,证实该防护方法的有效性。

Android应用WebView漏洞的浅谈

针对Android系统应用的漏洞进行研究,其中WebView漏洞是程序开发者容易忽略的漏洞,Webview是应用程序渲染网页的常用类,但是如果未进行正常限制,会给攻击者留有接口,造成用户信息被窃取,甚至更大的损失。因此本文主要研究WebView漏洞的成因和分类。

WebView未授权调用Android硬件漏洞的发现与防护

WebView安全漏洞是导致APP隐私泄漏的重要威胁因素。基于新发现的一种远程代码执行漏洞,WebView能够实现对Andriod本地硬件的未授权调用。通过分析漏洞成因,本文提出了一种基于动态权限控制的漏洞防护方案,实验结果验证了该漏洞的攻击威胁和防护方案的效果,针对该漏洞的发现和防护研究能够有效提高APP隐私安全的保障能力。

混合开发模式下基于WebView的移动应用安全性综述

为了提高效率和节省成本,越来越多的安卓开发倾向于混合开发模式。混合应用程序兼具了原生应用程序良好用户体验的优势和基于Web的应用程序使用HTML5跨平台开发低成本的优势。与此同时,像网络钓鱼、XSS等在web安全领域常见的安全问题也在混合应用中体现了出来。文中在现有研究的基础上,主要介绍混合开发模式下移动应用安全问题的最新研究成果:对针对WebView漏洞的攻击类型进行了介绍和归类,对不同类别的漏洞检测方法进行了定性分析和横向比较,还介绍了相应防御措施的研究现状并对当前面临的技术挑战进行探讨。这些工作可为将来安卓生态安全研究提供有益参考。

Android平台漏洞及安全威胁研究

首先针对Android平台的漏洞进行研究,列举了3种常见漏洞类型,并结合案例进行了分析,在此基础上分析了Android平台漏洞产生的成因。最后分析了因漏洞产生的安全威胁的特点,提出普通用户的应对措施。