Android、混乱した代理攻撃を防ぐにはどうすればよいですか?
悪意のあるモバイルアプリに適切な権限がない場合。ファイルをダウンロードすると、ブラウザを起動してsthをダウンロードできます。このような攻撃の具体例は、27ページから29ページまで Android Security Architecture に示されています。私のモバイルアプリケーションがこの種の攻撃の影響を受けないようにしたいと思います。したがって、私の質問は、モバイルユーザーが悪意のあるアプリケーションによって悪用されてモバイルユーザーが悪用されるのを防ぐにはどうすればよいですか?
前もって感謝します。
混乱した代理問題 の根本は、悪意のあるユーザーに代わって機密アクションを実行するアプリケーションです。
Androidアプリケーションのコンテキストでは、アプリケーションが 引数で起動 になる可能性があります。この場合、引数は脆弱な攻撃面になる可能性があります混乱した代理攻撃を含む、あらゆる種類の入力検証の脆弱性に対して。つまり、Androidアプリはこの入力を信頼するか、呼び出し元に代わって昇格されたアクションを実行する必要があります。そうすることは脆弱性になります。
AndroidアプリケーションがWebViewの場合、XSS、CSRFに対して脆弱である可能性があります。これらの2つの脆弱性は、ブラウザーを混乱した代理として使用し、上記の混乱した代理問題Wikipediaページで説明されています。