Android平台WebView组件安全及应用加固研究

doi:10.3969/j.issn.1671-1122.2015.10.009

信息网络安全 ›› 2015, Vol. 15 ›› Issue (10): 61-65.doi: 10.3969/j.issn.1671-1122.2015.10.009

Android平台WebView组件安全及应用加固研究

赵光泽(), 李晖, 孟杨

北京邮电大学计算机学院,北京100876

收稿日期:2015-06-13 出版日期:2015-10-01 发布日期:2015-11-04
作者简介:
作者简介：赵光泽（1990-） ,男,辽宁,硕士研究生,主要研究方向：移动终端安全;李晖（1970-）,女,吉林,副教授,硕士生导师,博士,主要研究方向：移动通信安全;孟杨（1990-）,男,河南,硕士研究生,主要研究方向：移动通信安全。
基金资助:
国家自然科学基金[61370195]

Research on the Security of Android WebView and Application Enhancement

ZHAO Guang-ze(), LI Hui, MENG Yang

School of Computer Science, Beijing University of Posts and Telecommunications, Beijing 100876, China

Received:2015-06-13 Online:2015-10-01 Published:2015-11-04

摘要/Abstract

摘要：

Android平台提供了WebView组件用于加载和显示Web网页。通过调用WebView提供的API,Android应用程序可以与Web页面进行交互操作。该交互过程包括允许Web页面中的JavaScript代码通过调用Android应用中Java代码访问本地资源。在此过程中,攻击者可以通过篡改Web页面中的JavaScript脚本攻击Android应用程序。研究发现,对Android应用程序进行逆向工程攻击得到WebView可调用接口,是此类攻击的前提。因此,为了防止此类攻击,文章提出了一种应用加固方案防止Android逆向工程攻击,通过隐藏WebView组件接口达到保护Android应用程序的目的。该加固方案不仅可以防范针对WebView组件的攻击,也可以防范其他基于Android逆向工程的攻击。

关键词: Android, 安全, WebView, 应用加固

Abstract:

Android platform provides WebView component to load and display webpage.By calling the APIs provided by WebView, Android applications can interact with the webpage.This interaction includes allowing javascript code in webpage to access the local resources by calling java code in Android applications.In this process, an attacker can tamper with the javascript in webpage to attack Android applications.Based on our research, such attacks usually use the reverse engineering of Android applications to get accessible WebView interface as its first step.Thus, in order to avoid these attacks, this paper proposed an application enhancement scheme to prevent Android reverse engineering and hide WebView component interface in order to protect the Android applications.This scheme can prevent not only attacks on WebView component, but also other attacks based on Android reverse engineering.

Key words: Android, security, WebView, application enhancement

中图分类号:

TP309

赵光泽, 李晖, 孟杨. Android平台WebView组件安全及应用加固研究[J]. 信息网络安全, 2015, 15(10): 61-65.

ZHAO Guang-ze, LI Hui, MENG Yang. Research on the Security of Android WebView and Application Enhancement[J]. Netinfo Security, 2015, 15(10): 61-65.

图/表 9

图1

图2

图3

图4

图5

图6

图7

图8

图9

参考文献 10

[1]	贾同彬,蔡阳,王跃武,等. 一种面向普通用户的Android APP安全性动态分析方法研究[J]. 信息网络安全,2015,(9):1-5.
[2]	WebView-AndroidDevelopers[EB/OL].,2015-06-03.
[3]	Jing Yu,Toshihiro,Yamauchi.Access Control to Prevent Attacks Exploiting Vulnerabilities of WebView in Android OS[C]//2013 IEEE International Conference on High Performance Computing and Communications & 2013 IEEE International Conference on Embedded and Ubiquitous Computing,2013.
[4]	邵旭东,刘洋. 一个应对Android应用抬权攻击的系统框架设计[J]. 信息网络安全,2015,(9):89-92.
[5]	Pinku Hazarika,Rahul Raj CP,Seshubabu Tolety.Recommendations for Webview Based Mobile Applications on Android[C]//2014 IEEE International Conference on Advanced Communication Control and Computing Technologies (ICACCCT),2014.
[6]	Tongbo Luo,Hao Hao,Wenliang Du.Attacks on WebView in the Android System[C]//Proceedings of the 27th Annual Computer Security Application Conference. ACM, 2011: 343-352.
[7]	Hyderabad,Andhra.Cross-site Scripting Attacks on Android WebView[C]//IJCSN International Journal of Computer Science and Network, 2013.
[8]	叶嘉羲,张权,王剑. 基于权限控制和脚本检测的Webview漏洞防护方案研究[J]. 信息网络安全,2015,(3):38-43.
[9]	Jingzhu Wu,Yanhui Guo,Guoai Xu.Enhance Android Applications Based on Anti-Reverse Scheme[C]//Proceedings of IEEE CCIS2012,2012.
[10]	Tang Jiutao, Lin Guoyuan.Research of Software Protection[C]//International Conference on Educational and Network Technology(ICENT 2010),2010.

[1]	申秀雨, 姬伟峰. 考虑安全的边—云协同计算卸载成本优化[J]. 信息网络安全, 2024, 24(7): 1110-1121.
[2]	赵新强, 范博, 张东举. 基于威胁发现的APT攻击防御体系研究[J]. 信息网络安全, 2024, 24(7): 1122-1128.
[3]	问闻, 刘钦菊, 邝琳, 任雪静. 隐私保护体系下网络威胁情报共享的研究现状和方案设计[J]. 信息网络安全, 2024, 24(7): 1129-1137.
[4]	郭祥鑫, 林璟锵, 贾世杰, 李光正. 针对大语言模型生成的密码应用代码安全性分析[J]. 信息网络安全, 2024, 24(6): 917-925.
[5]	凌治, 杨明, 余江银. 基于IPFS和区块链技术的电力安全交易平台研究[J]. 信息网络安全, 2024, 24(6): 968-976.
[6]	张长琳, 仝鑫, 佟晖, 杨莹. 面向网络安全领域的大语言模型技术综述[J]. 信息网络安全, 2024, 24(5): 778-793.
[7]	王巍, 胡永涛, 刘清涛, 王凯崙. 铁路运行环境下ERT可信根实体的软件化技术研究[J]. 信息网络安全, 2024, 24(5): 794-801.
[8]	刘斯诺, 阮树骅, 陈兴蜀, 郑涛. 基于eBPF的云上威胁观测系统[J]. 信息网络安全, 2024, 24(4): 534-544.
[9]	张艳硕, 袁煜淇, 李丽秋, 杨亚涛, 秦晓宏. 基于SM2的周期性可否认环签名方案[J]. 信息网络安全, 2024, 24(4): 564-573.
[10]	刘峰, 江佳齐, 黄灏. 面向加密货币交易介质及过程的安全综述[J]. 信息网络安全, 2024, 24(3): 330-351.
[11]	杨志鹏, 刘代东, 袁军翼, 魏松杰. 基于自注意力机制的网络局域安全态势融合方法研究[J]. 信息网络安全, 2024, 24(3): 398-410.
[12]	黄海燕, 艾宇昕, 梁琳琳, 李赞. 窃听者攻击下的RSMA无线通信系统中的物理层安全性能分析[J]. 信息网络安全, 2024, 24(2): 252-261.
[13]	颜海龙, 王树兰. 基于国产密码技术的不动产登记集成办事平台设计与实现[J]. 信息网络安全, 2024, 24(2): 303-308.
[14]	张博文, 李冬, 赵贻竹, 于俊清. IPv6地址驱动的云网络内生安全机制研究[J]. 信息网络安全, 2024, 24(1): 113-120.
[15]	张敏, 冯永强, 许春香, 张建华. 智能家居网络下基于多因子的认证密钥协商方案[J]. 信息网络安全, 2024, 24(1): 133-142.

Android平台WebView组件安全及应用加固研究

Research on the Security of Android WebView and Application Enhancement

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 9

参考文献 10

相关文章 15

编辑推荐

Metrics

本文评价