安卓平台下基于WebView的攻击及防御机制

发布时间：2018-10-20 11:35

【摘要】：WebView在安卓和iOS平台上都是很重要的组件，它使得智能手机和平板电脑的应用(apps)都能内嵌一个简单但是强大的浏览器在其中。为了满足应用和其内嵌浏览器的很好交互，WebView提供了很多APIs（应用程序编程接口），允许应用的java代码调用网页中的javascript代码，，允许获取对方的事件信息或更改他们的事件，反之依然可行。使用这些特性，应用能够为了他们所期望的网络用途而成为一种专有化的浏览器。现如今，在安卓市场中，在十种不同分类下的排名前20的应用中，接近90%都使用WebView。 WebView的设计改变了Web的发展现状，尤其是在安全方面。WebView和其APIs的使用，使得Web安全基础架构中两个基本的方面被削弱：分别是客户端的TCB（可信计算基）和浏览器端的sandbox（沙盒保护）。我们把WebView的APIs分为两类，分别是基于Web的APIs和基于UI的APIs，我们分别研究使用这两类APIs的攻击手段。随后我们研究针对WebView攻击的最根本问题所在，并制定了一个通用模型，我们称之为容器威胁模型。我们认为造成这种攻击可行的原因在于系统没能保护它的视觉完整性。从这个角度来说，我们研究了现有的对策，并给出一个通用的解决方案，制定一个类似TCB的方法来解决这个问题，我们称之为TDB（可信显示基）。我们使用边信道来传递丢失的视觉信息给用户。从访问控制的角度来看，我们使用动态的绑定策略模型，使服务器可以根据客户端情境的不同执行不同的限制措施。 本文的主要研究成果如下： 1.对基于WebView的攻击进行归纳分析总结； 2.提出一种容器威胁模型，并尝试在安卓平台上对抗这种攻击模型。 3.在安卓平台使用边信道来给用户传递丢失的视觉信息，并提出一个新型的动态绑定策略模型来阻止针对视觉完整性的攻击。
[Abstract]:WebView is an important component on both Android and iOS, allowing (apps), a smartphone and tablet app, to embed a simple but powerful browser in it. To satisfy the good interaction between an application and its embedded browser, WebView provides a number of APIs (Application programming Interface) that allow the application's java code to invoke the javascript code in the Web page, get the other party's event information, or change their events. Vice versa is still feasible. With these features, applications can become a proprietary browser for their desired network use. Today, in the Android market, nearly 90 percent of the top 20 apps in 10 different categories use WebView. WebView designs to change the status quo of Web, especially in terms of security. WebView and its APIs. Two basic aspects of Web security infrastructure are weakened: client TCB (trusted Computing Base) and browser-side sandbox (sandboxie protection). We divide the APIs of WebView into two categories, that is, APIs based on Web and APIs, based on UI. Then we study the most fundamental problem of WebView attack, and develop a general model, which we call container threat model. We believe that this attack is possible because the system fails to protect its visual integrity. From this point of view, we study the existing countermeasures, and give a general solution, develop a similar TCB method to solve this problem, we call it TDB (trusted display Base). We use edge channels to transmit lost visual information to the user. From the point of view of access control, we use a dynamic binding policy model to enable the server to perform different restrictions according to client scenarios. The main research results of this paper are as follows: 1. The attack based on WebView is summarized. 2. Propose a container threat model and try to counter it on Android. 3. 3. Side channels are used to transmit lost visual information to users on Android platform, and a new dynamic binding strategy model is proposed to prevent attacks against visual integrity.
【学位授予单位】：西安电子科技大学
【学位级别】：硕士
【学位授予年份】：2014
【分类号】：TP393.08

【相似文献】

相关期刊论文 前10条

1 沈鑫剡;俞海英;魏涛;李兴德;;病毒防御机制综述[J];中国新通信;2011年17期

2 林明;;端点准入防御机制在气象网络安全改造中的应用研究[J];硅谷;2011年14期

3 叶进;林婧;张向利;;基于802.15.4的低速率拒绝休眠攻击及其防御机制研究[J];传感技术学报;2013年05期

4 吴信一;百利一害?谈无线网络的安全[J];计算机安全;2002年06期

5 殷茜;;基于排队论的SIP DoS攻击防御机制的研究[J];重庆邮电大学学报(自然科学版);2008年04期

6 金培莉;岳江红;曹东亚;俞丞涛;;ARP欺骗分析及快速防御机制的建立[J];中山大学学报(自然科学版);2009年S1期

7 王建;陈兴蜀;冯伟森;杨邓奇;;基于DHT的消息转发防御机制研究[J];四川大学学报(工程科学版);2011年06期

8 ;让客户端威胁土崩瓦解[J];软件世界;2002年10期

9 肖原,王晟,李乐民;基于主动网的SYN攻击防御[J];电子科技大学学报;2003年03期

10 胡玲玲;杨寿保;王菁;;P2P网络中Sybil攻击的防御机制[J];计算机工程;2009年15期

相关会议论文 前5条

1 钟建军;陈中永;;武警心理健康与人格防御机制的关系研究[A];培养创新型人才、推进科技创新、推动转变经济发展方式——内蒙古自治区第六届自然科学学术年会优秀论文集[C];2011年

2 马君;;防御机制、社会替代性补偿与压力应对:来自旅游的证据[A];社会主义与中国现代化 政治·法律与社会：上海市社会科学界第七届学术年会文集（2009年度）政治·法律·社会学科卷[C];2009年

3 叶金辉;;防御机制对青年农民生活事件、社会支持的影响[A];第十届全国心理学学术大会论文摘要集[C];2005年

4 陈雅娴;李超;;对IMS的DoS攻击检测和防御机制[A];全国计算机安全学术交流会论文集·第二十五卷[C];2010年

5 蔡雅琦;徐光兴;;心理咨询与治疗收费知觉研究[A];第十二届全国心理学学术大会论文摘要集[C];2009年

相关重要报纸文章 前10条

1 记者 孙明河;我国科学家首次观测到低等植物防御机制直接证据[N];科技日报;2000年

2 任高平 李祖革;“亚腐败”防御机制探析[N];扬州日报;2006年

3 镇江市丹徒区检察院 钱坤邋周镖 王琪;检察网上举报系统应强化安全防范[N];江苏法制报;2008年

4 记者　 刘峰 特约记者 徐义 黄晓霞;新区派出所对租房户实行旅馆式登记管理[N];泰州日报;2006年

5 本报记者 邢梦宇;欧盟欲修改贸易防御机制 中国企业进入门槛提高[N];中国贸易报;2013年

6 湖南省衡阳市第一精神病医院 谭贵星;印度“超女”“瘫痪”到底怨谁[N];大众卫生报;2008年

7 赵纲;我国预警和防御机制仍待健全[N];农民日报;2004年

8 陈翔;用强“芯”替代IDS[N];中国计算机报;2004年

9 新华社记者 毛磊;尼古丁 致癌物的帮凶[N];新华每日电讯;2003年

10 武英;执法保障百姓食肉安全[N];检察日报;2004年

相关硕士学位论文 前10条

1 缪小幼;防御机制的情境性变化及其变化对焦虑情绪影响的对照研究[D];苏州大学;2010年

2 周慧渊;自尊与防御机制使用关系研究[D];浙江大学;2008年

3 周舟;青年学生儿童化倾向的心理机制及其社会动因研究[D];南京师范大学;2005年

4 贾军;科研道德失范及其防御机制的确立[D];武汉理工大学;2007年

5 王\

本文编号：2283046