移动应用是如何通过WebView窃取你的隐私的.pdf

移动应用是如何通过WebView窃取你的隐私的 目录 I.移动应用与WEB II. 同安全主体原则 （SPP）与XPM III.XPM自动化检测工具 IV.结果与案例分析 V.总结与展望 移动应用与Web 移动应用内集成WEB服务 • 广泛应用于各种功能 ，如广告 ，社交分享 ，用户身份认证和授权 • 复用已有Web代码 ；适配不同平台 ，提供一致的用户体验 集成方式 WebView ：轻量级应用内浏览器 • 位于应用内部 ，提供流畅的交互界面 • 提供丰富的接口，可令应用操作Web网页 • WebViewonAndroid • UIWebView/WKWebViewoniOS WebView Mobile app WebViewAPI WebView提供的API可以操作以下Web敏感资源 Manipulated Web Android WebView iOS UIWebView iOS WKWebView Resources Local Storage CookieManager NSHTTPCookieStorage WKWebsiteDataStorage loadUrl, stringByEvaluatingJavascriptFr Web Content evaluateJavascript evaulateJavascript omString onPageFinished, Web Address \ \ shouldOverrideUrlLoading decidePolicyForNavigationAction, Network Traffic shouldInteceptRequest shouldStartLoadWithRequest decidePolicyForNavigationResponse Q 这些API会被安全的使用吗？ App-to-WebAttacks 移动应用对加载的WEB资源进行拦截、篡改等操作 • 最主要的方式是通过WebViewAPI Web App 但是大多数情况下 ，使用WebViewAPI是安全的。 怎样区分App-to-WebAtt