スマートフォンアプリへのブラウザ機能の実装に潜む危険 ――WebViewクラスの問題について

はじめに AndroidにはWebViewと呼ばれるクラスが用意されています。簡易的なブラウザの機能を提供しているクラスで、URLを渡してHTMLをレンダリングさせたり、JavaScriptを実行させたりすることができます。内部ではWebKitを使用しておりAndroidの標準ブラウザと同じような出力結果を得ることができるため、このクラスを使用することで簡単にWebブラウザの機能を持ったアプリケーションを作成できます。 しかし、その簡単さ故、使い方を誤ったり仕様をよく把握していなかったりすると、脆弱性の元になります。今回はこのWebViewクラスの使い方に起因する脆弱性について見ていくことにしましょう。 WebViewクラスとJavaScript WebViewクラスを使用した場合、注意しなければならないのはJavaScriptを有効にした場合です。デフォルトではJavaScriptの機能

[side_tana]

なるほど

[raimon49]

http/httpsスキームに限定。

[open_your_eyes]

アプリ内蔵ブラウザは危険

[tackman]

WebViewでContext取得

[nilab]

スマートフォンアプリへのブラウザ機能の実装に潜む危険　――WebViewクラスの問題について （1/2）：CodeZine

[lanius]

addJavascriptInterfaceの問題点。

[intemous9]

ちゃんと覚えたい

[airj12]

モバイルjs方面は利便性(開発効率)優先して色々と考慮不足な感じが…

[coppieee]

getClass()がクライアントから使えてしまうのはまずいな...

[field_combat]

WebView内のJSからJavaをキックできるらしい。あとはfileプロトコルを利用して端末内のデータを取得可能。

[dmp939]

addJavascriptInterfaceを始めとするJSのセキュリティと、http/httpsプロトコル以外の危険性

[koroharo]

addJavascriptInterface は、その仕様見て問題と対策に気付けない人はAndroidアプリ作るべきではないと思うの。

[richard_raw]

PhoneGapとかこのへんどうなってるんでしょう？

[tinsep19]

WebView便利なのね。危険性もあるけど