Skip to main content
QUICK REVIEW

[論文レビュー] Cross-site Scripting Attacks on Android WebView

A. B. Bhavani|arXiv (Cornell University)|Apr 28, 2013
Advanced Malware Detection Techniques参考文献 4被引用数 33
ひとこと要約

本論文は、Android WebViewにおけるクロスサイトスクリプティング(XSS)脆弱性を調査し、攻撃者がHttpClient APIを介して同じオリジンポリシーの保護を回避し、悪意あるスクリプトを実行してユーザーの認証情報(クッキーなど)を盗み取ることを示している。この研究は、WebViewのセキュリティモデルがクライアント側のXSS攻撃に対して脆弱であることを明らかにし、脆弱なアプリケーションでユーザーのデータが完全に侵害されうることを示している。

ABSTRACT

WebView is an essential component in Android and iOS. It enables applications to display content from on-line resources. It simplifies task of performing a network request, parsing the data and rendering it. WebView uses a number of APIs which can interact with the web contents inside WebView. In the current paper, Cross-site scripting attacks or XSS attacks specific to Android WebView are discussed. Cross site scripting (XSS) is a type of vulnerability commonly found in web applications. This vulnerability makes it possible for attackers to run malicious code into victim's WebView,through HttpClient APIs. Using this malicious code, the attackers can steal the victim's credentials, such as cookies. The access control policies (that is,the same origin policy) employed by the browser to protect those credentials can be bypassed by exploiting the XSS vulnerability.

研究の動機と目的

  • Android WebViewコンponentにおけるクロスサイトスクリプティング(XSS)脆弱性がもたらすセキュリティリスクを分析すること。
  • 攻撃者がHttpClient APIをどのように悪用して、WebView内で悪意あるスクリプトを実行できるかを調査すること。
  • WebViewにおける同じオリジンポリシーの保護を回避する方法を実証し、認証情報の盗み取りを可能にすること。
  • Androidアプリに広く使われているにもかかわらず、WebViewに適切なアクセス制御メカニズムが欠如していることを強調すること。
  • モバイルアプリ開発におけるWebView統合のセキュリティ的影響についての認識を高めること。

提案手法

  • 著者たちは、Android WebViewのアーキテクチャとHttpClient APIとの相互作用を分析し、攻撃ベクトルを同定する。
  • 不適切なデータ処理を通じて、信頼できないウェブコンテンツがWebViewに挿入される方法を実証する。
  • WebViewにおける厳密なコンテンツセキュリティポリシーの欠如を悪用し、任意のJavaScriptコードを実行する。
  • 攻撃の実行可能性を検証するために、制御されたテスト環境を用いて実世界の攻撃シナリオをシミュレートする。
  • 同じオリジンポリシーなどの既存のアクセス制御ポリシーが、不正なスクリプト実行を防ぐのにどの程度効果的であるかを評価する。
  • WebViewの挙動を逆アセンブルし、さまざまな設定下でのレンダリングおよび実行モデルを分析する。

実験結果

リサーチクエスチョン

  • RQ1クロスサイトスクリプティング攻撃は、Android WebViewコンponentをどのようにして侵害できるか?
  • RQ2HttpClient APIは、WebView内で悪意あるスクリプトを注入・実行するために、どのように悪用可能か?
  • RQ3Android WebViewにおいて、同じオリジンポリシーはどの程度の範囲で回避可能であり、認証情報の盗み取りを可能にするか?
  • RQ4このような攻撃を可能にする、WebViewのアーキテクチャ的・実装的欠陥は何か?
  • RQ5WebViewに実装された既存のセキュリティメカニズムは、なぜクライアント側のXSS攻撃を防げないのか?

主な発見

  • Android WebViewにおけるXSS攻撃は、同じオリジンポリシーを効果的に回避でき、機密ユーザーデータへの不正アクセスを可能にする。
  • HttpClient APIを介してインジェクションされた悪意あるスクリプトは、WebViewコンテキスト内で実行され、ユーザーのクッキーおよびセッショントークンにアクセスできる。
  • 本研究は、信頼できないコンテンツがレンダリングされる場合、WebViewのセキュリティモデルがクライアント側XSSを防止するのに不十分であることを確認した。
  • 入力のクリーニングが適切に行われないAndroidアプリケーションでは、この脆弱性が実際のアプリケーションで利用可能である。
  • 標準的なセキュリティポリシーが適用されていても、WebViewはXSSを通じた認証情報の盗み取りに対して依然として脆弱であることが実証された。
  • これらの発見は、特にウェブコンテンツレンダリングにWebViewに依存するアプリケーションにおいて、モバイルアプリケーションセキュリティにおける深刻なギャップを浮き彫りにしている。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。