Security analysis of WebViews in cross-plattform mobile frameworks

Abstract

WebViews spielen eine zentrale Rolle bei der Integration von Webinhalten in mobile Anwendungen. Diese Integration hat bisher zu zahlreichen schwerwiegenden Sicherheitslücken geführt. In jüngster Zeit haben sich moderne cross-platform mobile frameworks (XMFs) wie React Native und Flutter als beliebte Werkzeuge zur Beschleunigung der plattformübergreifenden Entwicklung etabliert. Trotz ihrer zunehmenden Verbreitung sind die Sicherheitsrisiken von WebViews in diesen Frameworks noch weitgehend unerforscht. Die vorliegende Arbeit schließt diese Forschungslücke durch eine systematische Untersuchung der Integration von WebViews in XMFs und den damit verbundenen Sicherheitsrisiken.In dieser Arbeit werden fünf Schwachstellen beschrieben, die mit der Verwendung von WebViews zusammenhängen und Bedrohungen darstellen, die den unbefugten Zugriff auf Informationen und Phishing-Angriffe ermöglichen. Zu diesen Schwachstellen gehören (a) unerlaubter Zugriff auf Methoden, die über die JavaScript-Schnittstelle bereitgestellt werden, (b) das Ausbleiben von wirksamen Navigationsbeschränkungen, (c) unsichere HTTP-Authentifizierung, (d) unbeschränkte Navigation innerhalb von iframes und (e) unsichere Standardeinstellungen. Unsere Analyse von 3.411 Anwendungen, die auf XMFs basieren, zeigt, dass viele dieser Anwendungen betroffen sind, da sie Funktionen verwenden, die mit diesen Sicherheitslücken in Zusammenhang stehen. Aufgrund der Neuartigkeit moderner XMFs und des entsprechenden Mangels an ausgereiften Analysewerkzeugen ist es schwierig die genaue Anzahl anfälliger Apps zu bestimmen. Dennoch unterstreichen diese Ergebnisse den dringenden Bedarf an verbesserten Sicherheitsprüfungen und liefern wertvolle Erkenntnisse für Entwickler und Sicherheitsanalysten im engeren und für die gesamte Mobile-Apps-Branche im weiteren Sinne.

WebViews play a critical role in integrating web content into mobile apps. However, balancing their smooth integration with security has been a challenge. More recently, modern cross-platform mobile frameworks (XMFs) such as React Native and Flutter have emerged as popular tools for streamlining cross-platform development. Despite their growing adoption, the security implications of WebViews in these frameworks remain largely unexplored. This thesis fills this gap by systematically investigating the integration and vulnerabilities of WebViews within XMFs.Throughout this thesis, we describe five vulnerabilities associated with using WebViews that pose threats ranging from information leakage to phishing attacks. These vulnerabilities include (a) surreptitious access to methods injected via the JavaScript interface, (b) lack of effective navigation restrictions, (c) insecure HTTP authentication, (d) unauthorized navigation within iframes, and (e) insecure defaults. Our analysis of 3,411 apps shows that many XMF-based apps are likely to be affected due to their use of features found to be vulnerable. While determining the exact number of vulnerable apps is challenging due to the novelty of modern XMFs and the corresponding lack of advanced analysis tools, these findings highlight the urgent need for improved security auditing and provide valuable insights for developers, security analysts, and the broader mobile app industry.