Eri*_*ger 24 language-agnostic security mobile android ios
情况:
Alice使用一个在线银行网站存储她的凭证的cookie.
在cookie过期之前,Eve向Alice发送恶意URL,随后使Alice从她的银行帐户中提取资金并将其发送给Eve.
这是Web应用程序的常见CSRF示例,但在移动应用程序中执行此操作的可行性如何?
如果Alice在她的手机上使用银行应用程序存储cookie然后访问具有类似结果的Eve的网站怎么办?
Alice本地(或混合)应用程序中的移动设备上的cookie是否容易受到操纵,或者这些cookie通常会以某种方式装在设备上?
我会假设iOS,Android等上的cookie与普通浏览器的工作方式相同,但实际情况如此吗?
编辑:
这个问题原本打算在所有移动设备上都是通用的.甚至诸如在JavaScript中创建cookie然后使用PhoneGap或Titanium之类的东西我也相信.在阅读了更多内容之后,我也很好奇,如果使用这些其他技术之一编译JavaScript会影响本机设备的cookie以及它们如何存储它们.
使用cookie的主要目的是维护用户的凭据,这样他们就不必每次都使用银行帐户注销并重新登录.在阅读了有关此问题的更多信息后,似乎每个特定设备都有不同的场景,事实上CSRF应用程序是可行的.例如,Android中的" 共享首选项"是沙盒,以防止其他应用程序访问这些值.
Com*_*are 17
Alice本地(或混合)应用程序中的移动设备上的cookie是否容易受到操纵,或者这些cookie通常会以某种方式装在设备上?
CSRF攻击涉及一个应用程序:浏览器.您提出的攻击涉及两个单独的应用程序:银行应用程序和浏览器.
一般而言,单独的应用程序是分开的 Safari不与Firefox共享数据,即使两者都安装在同一OS X计算机上也是如此.现在,可能存在一个或另一个可能允许JS不受限制地访问OS文件系统的错误,因此允许Safari中的网站访问Firefox的数据(反之亦然),但这与CSRF无关.
在任何现代操作系统上,任何单独的应用程序都是一样的.
甚至诸如在JavaScript中创建cookie然后使用PhoneGap或Titanium之类的东西我也相信.
实际上,不仅仅是拥有cookie的Safari和拥有cookie的Firefox都有所不同.
事实上,CSRF是一种应用程序
欢迎您提供您的声明的证据,或提供CSRF的个人定义,其中包括Safari攻击Firefox等场景.
例如,Android中的"共享首选项"是沙盒,以防止其他应用程序访问这些值.
正确.这与CSRF几乎没有关系.
在Android的情况下,似乎您创建和存储cookie的方式在攻击中确实很重要,并且它可能存在漏洞.
同样,欢迎您提供您的声明的证据,或提供您对CSRF的个人定义,其中包括Safari攻击Firefox等场景.
虽然对设备的物理访问会导致安全问题
拥有远程传送技术,使得CSRF能够使移动设备物理地改变其位置,从而对物理访问产生影响,尚未开发出来.
Web 浏览器和应用程序不共享相同的 cookie 存储,因此这种方式的 CSRF 攻击应该是不可能的。应用程序也可以使用 Web 视图,但每个 Web 视图都有自己的 Cookie 存储 [1],因此两个应用程序之间的 CSRF 攻击也是不可能的。
通过阅读本文 [2],看起来确实可以在文件系统上存储 cookie,该文件系统可以通过其他应用程序(但不能通过 Web 浏览器)用作攻击媒介。
[2] http://developer.android.com/reference/android/webkit/CookieManager.html