Skip to main content
QUICK REVIEW

[论文解读] Cross-site Scripting Attacks on Android WebView

A. B. Bhavani|arXiv (Cornell University)|Apr 28, 2013
Advanced Malware Detection Techniques参考文献 4被引用 33
一句话总结

本文研究了 Android WebView 中的跨站脚本(XSS)漏洞,展示了攻击者如何通过 HttpClient API 绕过同源策略保护机制,执行恶意脚本并窃取用户凭据(如 cookies)。研究揭示,WebView 的安全模型易受客户端 XSS 攻击影响,导致易受攻击的应用程序中用户数据被完全破坏。

ABSTRACT

WebView is an essential component in Android and iOS. It enables applications to display content from on-line resources. It simplifies task of performing a network request, parsing the data and rendering it. WebView uses a number of APIs which can interact with the web contents inside WebView. In the current paper, Cross-site scripting attacks or XSS attacks specific to Android WebView are discussed. Cross site scripting (XSS) is a type of vulnerability commonly found in web applications. This vulnerability makes it possible for attackers to run malicious code into victim's WebView,through HttpClient APIs. Using this malicious code, the attackers can steal the victim's credentials, such as cookies. The access control policies (that is,the same origin policy) employed by the browser to protect those credentials can be bypassed by exploiting the XSS vulnerability.

研究动机与目标

  • 分析 Android WebView 组件中跨站脚本(XSS)漏洞带来的安全风险。
  • 研究攻击者如何利用 HttpClient API 在 WebView 中执行恶意脚本。
  • 演示如何在 WebView 中绕过同源策略保护机制,实现凭据窃取。
  • 强调尽管 WebView 在 Android 应用中广泛使用,但其缺乏充分的访问控制机制。
  • 提高对 WebView 集成在移动应用开发中安全影响的认识。

提出的方法

  • 作者分析 Android WebView 的架构及其与 HttpClient API 的交互,以识别攻击向量。
  • 他们展示了如何通过不安全的数据处理方式,将不受信任的网页内容注入 WebView。
  • 该研究利用 WebView 中缺乏严格的内容安全策略,执行任意 JavaScript 代码。
  • 研究人员通过受控测试环境模拟真实世界攻击场景,以验证攻击的可利用性。
  • 他们评估了现有访问控制策略(如同源策略)在防止未经授权脚本执行方面的有效性。
  • 该方法包括对 WebView 行为的逆向工程,以及在不同配置下对其渲染和执行模型的分析。

实验结果

研究问题

  • RQ1如何利用跨站脚本攻击来破坏 Android WebView 组件?
  • RQ2HttpClient API 在哪些方面可被滥用,以在 WebView 中注入并执行恶意脚本?
  • RQ3在 Android WebView 中,同源策略在多大程度上可被绕过,以实现凭据窃取?
  • RQ4WebView 中存在哪些架构和实现缺陷,使得此类攻击成为可能?
  • RQ5WebView 中现有的安全机制为何无法防止客户端 XSS 攻击的利用?

主要发现

  • 针对 Android WebView 的 XSS 攻击可成功绕过同源策略,从而实现对敏感用户数据的未授权访问。
  • 通过 HttpClient API 注入的恶意脚本可在 WebView 上下文中执行,并访问用户 cookies 和会话令牌。
  • 该研究确认,当渲染不受信任的内容时,WebView 的安全模型不足以防止客户端 XSS 攻击。
  • 该漏洞可在未进行适当输入清理的现实世界 Android 应用中被利用。
  • 研究证明,即使采用标准安全策略,WebView 仍易受通过 XSS 实现的凭据窃取攻击。
  • 研究结果凸显了移动应用安全中的一个关键漏洞,尤其针对依赖 WebView 渲染网页内容的应用。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。