Android平台WebView组件安全及应用加固研究

doi:10.3969/j.issn.1671-1122.2015.10.009

信息网络安全 ›› 2015, Vol. 15 ›› Issue (10): 61-65.doi: 10.3969/j.issn.1671-1122.2015.10.009

Android平台WebView组件安全及应用加固研究

赵光泽(), 李晖, 孟杨

北京邮电大学计算机学院,北京100876

收稿日期:2015-06-13 出版日期:2015-10-01 发布日期:2015-11-04
作者简介:
作者简介：赵光泽（1990-） ,男,辽宁,硕士研究生,主要研究方向：移动终端安全;李晖（1970-）,女,吉林,副教授,硕士生导师,博士,主要研究方向：移动通信安全;孟杨（1990-）,男,河南,硕士研究生,主要研究方向：移动通信安全。
基金资助:
国家自然科学基金[61370195]

Research on the Security of Android WebView and Application Enhancement

Guang-ze ZHAO(), Hui LI, Yang MENG

School of Computer Science, Beijing University of Posts and Telecommunications, Beijing 100876, China

Received:2015-06-13 Online:2015-10-01 Published:2015-11-04

摘要/Abstract

摘要：

Android平台提供了WebView组件用于加载和显示Web网页。通过调用WebView提供的API,Android应用程序可以与Web页面进行交互操作。该交互过程包括允许Web页面中的JavaScript代码通过调用Android应用中Java代码访问本地资源。在此过程中,攻击者可以通过篡改Web页面中的JavaScript脚本攻击Android应用程序。研究发现,对Android应用程序进行逆向工程攻击得到WebView可调用接口,是此类攻击的前提。因此,为了防止此类攻击,文章提出了一种应用加固方案防止Android逆向工程攻击,通过隐藏WebView组件接口达到保护Android应用程序的目的。该加固方案不仅可以防范针对WebView组件的攻击,也可以防范其他基于Android逆向工程的攻击。

关键词: Android, 安全, WebView, 应用加固

Abstract:

Android platform provides WebView component to load and display webpage.By calling the APIs provided by WebView, Android applications can interact with the webpage.This interaction includes allowing javascript code in webpage to access the local resources by calling java code in Android applications.In this process, an attacker can tamper with the javascript in webpage to attack Android applications.Based on our research, such attacks usually use the reverse engineering of Android applications to get accessible WebView interface as its first step.Thus, in order to avoid these attacks, this paper proposed an application enhancement scheme to prevent Android reverse engineering and hide WebView component interface in order to protect the Android applications.This scheme can prevent not only attacks on WebView component, but also other attacks based on Android reverse engineering.

Key words: Android, security, WebView, application enhancement

中图分类号:

TP309

赵光泽, 李晖, 孟杨. Android平台WebView组件安全及应用加固研究[J]. 信息网络安全, 2015, 15(10): 61-65.

Guang-ze ZHAO, Hui LI, Yang MENG. Research on the Security of Android WebView and Application Enhancement[J]. Netinfo Security, 2015, 15(10): 61-65.

图/表 9

图1

图2

图3

图4

图5

图6

图7

图8

图9

参考文献 10

[1]	贾同彬,蔡阳,王跃武,等. 一种面向普通用户的Android APP安全性动态分析方法研究[J]. 信息网络安全,2015,(9):1-5.
[2]	WebView-AndroidDevelopers[EB/OL].,2015-06-03.
[3]	Jing Yu,Toshihiro,Yamauchi.Access Control to Prevent Attacks Exploiting Vulnerabilities of WebView in Android OS[C]//2013 IEEE International Conference on High Performance Computing and Communications & 2013 IEEE International Conference on Embedded and Ubiquitous Computing,2013.
[4]	邵旭东,刘洋. 一个应对Android应用抬权攻击的系统框架设计[J]. 信息网络安全,2015,(9):89-92.
[5]	Pinku Hazarika,Rahul Raj CP,Seshubabu Tolety.Recommendations for Webview Based Mobile Applications on Android[C]//2014 IEEE International Conference on Advanced Communication Control and Computing Technologies (ICACCCT),2014.
[6]	Tongbo Luo,Hao Hao,Wenliang Du.Attacks on WebView in the Android System[C]//Proceedings of the 27th Annual Computer Security Application Conference. ACM, 2011: 343-352.
[7]	Hyderabad,Andhra.Cross-site Scripting Attacks on Android WebView[C]//IJCSN International Journal of Computer Science and Network, 2013.
[8]	叶嘉羲,张权,王剑. 基于权限控制和脚本检测的Webview漏洞防护方案研究[J]. 信息网络安全,2015,(3):38-43.
[9]	Jingzhu Wu,Yanhui Guo,Guoai Xu.Enhance Android Applications Based on Anti-Reverse Scheme[C]//Proceedings of IEEE CCIS2012,2012.
[10]	Tang Jiutao, Lin Guoyuan.Research of Software Protection[C]//International Conference on Educational and Network Technology(ICENT 2010),2010.

[1]	刘建伟, 韩祎然, 刘斌, 余北缘. 5G网络切片安全模型研究[J]. 信息网络安全, 2020, 20(4): 1-11.
[2]	江金芳, 韩光洁. 无线传感器网络中信任管理机制研究综述[J]. 信息网络安全, 2020, 20(4): 12-20.
[3]	傅智宙, 王利明, 唐鼎, 张曙光. 基于同态加密的HBase二级密文索引方法研究[J]. 信息网络安全, 2020, 20(4): 55-64.
[4]	赵志岩, 纪小默. 智能化网络安全威胁感知融合模型研究[J]. 信息网络安全, 2020, 20(4): 87-93.
[5]	马力. 网络安全等级保护测评中结论产生的定量计算方法研究[J]. 信息网络安全, 2020, 20(3): 1-8.
[6]	李宁, 李柏潮. 移动互联网的通行证式统一威胁管理架构[J]. 信息网络安全, 2020, 20(3): 18-28.
[7]	张兴隆, 李钰汀, 程庆丰, 郭路路. 一种防范TLS协议降级攻击的浏览器安全模型[J]. 信息网络安全, 2020, 20(3): 65-74.
[8]	黎水林, 祝国邦, 范春玲, 陈广勇. 一种新的等级测评综合得分算法研究[J]. 信息网络安全, 2020, 20(2): 1-6.
[9]	王晓, 赵军, 张建标. 基于可信软件基的虚拟机动态监控机制研究[J]. 信息网络安全, 2020, 20(2): 7-13.
[10]	郎为民, 张汉, 赵毅丰, 姚晋芳. 一种基于区块链的物联网行为监控和活动管理方案[J]. 信息网络安全, 2020, 20(2): 22-29.
[11]	姚萌萌, 唐黎, 凌永兴, 肖卫东. 基于串空间的安全协议形式化分析研究[J]. 信息网络安全, 2020, 20(2): 30-36.
[12]	喻露, 罗森林. RBAC模式下数据库内部入侵检测方法研究[J]. 信息网络安全, 2020, 20(2): 83-90.
[13]	唐春明, 林旭慧. 隐私保护集合交集计算协议[J]. 信息网络安全, 2020, 20(1): 9-15.
[14]	荆涛, 万巍. 面向属性迁移状态的P2P网络行为分析方法研究[J]. 信息网络安全, 2020, 20(1): 16-25.
[15]	胡蝶, 马东堂, 龚旻, 马召. 一种基于PUF的物理层安全认证方法[J]. 信息网络安全, 2020, 20(1): 61-66.

Android平台WebView组件安全及应用加固研究

Research on the Security of Android WebView and Application Enhancement

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 9

参考文献 10

相关文章 15

编辑推荐

Metrics

本文评价