病毒,技术熟练的用户或特权应用程序是否可以修改已安装在用户的Android或iOS上的Cordova混合应用程序中的Javascript？

Question

我想知道Cordova的应用程序构建安全性.因此,在应用程序安装在用户的设备上后,对手或具有root权限的其他应用程序/病毒是否可以修改存储在我的Cordova应用程序的WWW文件夹中的HTML和/或Javascript源？

我知道我不应该在我的Cordova应用程序中使用eval,但如果攻击者可以修改Javascript,它们可以造成与eval相同的伤害.

我担心如下情况:

1. 用户安装应用程序.
2. 攻击者拥有手机几分钟或足够长的时间来改变Javascript,以便能够公开或发送全局变量等运行时信息.
3. 攻击者添加了将会话密钥发送到域或电子邮件的Javascript代码.或者,如果正确使用域白名单,攻击者只是将它们存储在他/她以后可以检索的持久存储中.

这是一个现实的问题吗？