<div class="csl-bib-body">
<div class="csl-entry">Sattlegger, P. F. (2023). <i>Security Analysis of WebViews in Cross-Plattform Mobile Frameworks</i> [Diploma Thesis, Technische Universität Wien]. reposiTUm. https://doi.org/10.34726/hss.2023.115825</div>
</div>
-
dc.identifier.uri
https://doi.org/10.34726/hss.2023.115825
-
dc.identifier.uri
http://hdl.handle.net/20.500.12708/188813
-
dc.description
Arbeit an der Bibliothek noch nicht eingelangt - Daten nicht geprüft
-
dc.description
Abweichender Titel nach Übersetzung der Verfasserin/des Verfassers
-
dc.description.abstract
WebViews spielen eine zentrale Rolle bei der Integration von Webinhalten in mobile Anwendungen. Diese Integration hat bisher zu zahlreichen schwerwiegenden Sicherheitslücken geführt. In jüngster Zeit haben sich moderne cross-platform mobile frameworks (XMFs) wie React Native und Flutter als beliebte Werkzeuge zur Beschleunigung der plattformübergreifenden Entwicklung etabliert. Trotz ihrer zunehmenden Verbreitung sind die Sicherheitsrisiken von WebViews in diesen Frameworks noch weitgehend unerforscht. Die vorliegende Arbeit schließt diese Forschungslücke durch eine systematische Untersuchung der Integration von WebViews in XMFs und den damit verbundenen Sicherheitsrisiken.In dieser Arbeit werden fünf Schwachstellen beschrieben, die mit der Verwendung von WebViews zusammenhängen und Bedrohungen darstellen, die den unbefugten Zugriff auf Informationen und Phishing-Angriffe ermöglichen. Zu diesen Schwachstellen gehören (a) unerlaubter Zugriff auf Methoden, die über die JavaScript-Schnittstelle bereitgestellt werden, (b) das Ausbleiben von wirksamen Navigationsbeschränkungen, (c) unsichere HTTP-Authentifizierung, (d) unbeschränkte Navigation innerhalb von iframes und (e) unsichere Standardeinstellungen. Unsere Analyse von 3.411 Anwendungen, die auf XMFs basieren, zeigt, dass viele dieser Anwendungen betroffen sind, da sie Funktionen verwenden, die mit diesen Sicherheitslücken in Zusammenhang stehen. Aufgrund der Neuartigkeit moderner XMFs und des entsprechenden Mangels an ausgereiften Analysewerkzeugen ist es schwierig die genaue Anzahl anfälliger Apps zu bestimmen. Dennoch unterstreichen diese Ergebnisse den dringenden Bedarf an verbesserten Sicherheitsprüfungen und liefern wertvolle Erkenntnisse für Entwickler und Sicherheitsanalysten im engeren und für die gesamte Mobile-Apps-Branche im weiteren Sinne.
de
dc.description.abstract
WebViews play a critical role in integrating web content into mobile apps. However, balancing their smooth integration with security has been a challenge. More recently, modern cross-platform mobile frameworks (XMFs) such as React Native and Flutter have emerged as popular tools for streamlining cross-platform development. Despite their growing adoption, the security implications of WebViews in these frameworks remain largely unexplored. This thesis fills this gap by systematically investigating the integration and vulnerabilities of WebViews within XMFs.Throughout this thesis, we describe five vulnerabilities associated with using WebViews that pose threats ranging from information leakage to phishing attacks. These vulnerabilities include (a) surreptitious access to methods injected via the JavaScript interface, (b) lack of effective navigation restrictions, (c) insecure HTTP authentication, (d) unauthorized navigation within iframes, and (e) insecure defaults. Our analysis of 3,411 apps shows that many XMF-based apps are likely to be affected due to their use of features found to be vulnerable. While determining the exact number of vulnerable apps is challenging due to the novelty of modern XMFs and the corresponding lack of advanced analysis tools, these findings highlight the urgent need for improved security auditing and provide valuable insights for developers, security analysts, and the broader mobile app industry.
en
dc.language
English
-
dc.language.iso
en
-
dc.rights.uri
http://rightsstatements.org/vocab/InC/1.0/
-
dc.subject
web security
de
dc.subject
mobile security
de
dc.subject
cross-platform frameworks
de
dc.title
Security Analysis of WebViews in Cross-Plattform Mobile Frameworks
en
dc.type
Thesis
en
dc.type
Hochschulschrift
de
dc.rights.license
In Copyright
en
dc.rights.license
Urheberrechtsschutz
de
dc.identifier.doi
10.34726/hss.2023.115825
-
dc.contributor.affiliation
TU Wien, Österreich
-
dc.rights.holder
Paul Florian Sattlegger
-
dc.publisher.place
Wien
-
tuw.version
vor
-
tuw.thesisinformation
Technische Universität Wien
-
dc.contributor.assistant
Squarcina, Marco
-
tuw.publication.orgunit
E192 - Institut für Logic and Computation
-
dc.type.qualificationlevel
Diploma
-
dc.identifier.libraryid
AC16961804
-
dc.description.numberOfPages
73
-
dc.thesistype
Diplomarbeit
de
dc.thesistype
Diploma Thesis
en
dc.rights.identifier
In Copyright
en
dc.rights.identifier
Urheberrechtsschutz
de
tuw.advisor.staffStatus
staff
-
tuw.assistant.staffStatus
staff
-
item.fulltext
with Fulltext
-
item.grantfulltext
open
-
item.languageiso639-1
en
-
item.mimetype
application/pdf
-
item.openairetype
master thesis
-
item.cerifentitytype
Publications
-
item.openaccessfulltext
Open Access
-
item.openairecristype
http://purl.org/coar/resource_type/c_bdcc
-
crisitem.author.dept
E194 - Institut für Information Systems Engineering