PhoneGap 安全吗？

Posted 2023-03-15

【中文标题】PhoneGap 安全吗？

【英文标题】：Is PhoneGap secure?

【发布时间】：2011-09-27 04:18:02

【问题描述】：

phonegap 已针对攻击者强化了多少？尤其是我们自己页面中的 XSS 漏洞，其中 PhoneGap API 暴露给未知的攻击者。

例如，PhoneGap.exec() 命令在 iPhone 上是否安全？

在 javascript 中，PhoneGap.exec 命令让我担心，例如PhoneGap.exec(successCB, errorCB, "com.phonegap.contacts","search", ["fields":fields, "findOptions":options]);（复制了用于 iPhone 目标的 JavaScript from here）。 exec 命令理论上应该受到限制，并且应该仅能够访问 PhoneGap API 类（本例中为 com.phonegap.contacts）和方法（例如本例中为搜索）。

如果我们的应用程序中存在 XSS 漏洞，那么与仅在浏览器沙箱中运行相比，任何攻击者的攻击面都会扩大。最终用户的手机暴露于 PhoneGap 中的任何漏洞，这些漏洞可能允许攻击者访问特权 ObjectiveC 代码/api。我能找到的关于 PhoneGap 安全was this 的唯一文档。

【问题讨论】：

不是 PhoneGap/安全专家，但所有 ios 应用程序都在自己的安全沙箱中运行，无论实施平台如何。这应该会限制任何 PhoneGap 特定安全漏洞的暴露。 developer.apple.com/library/ios/#documentation/iphone/…

与 android 相关 - 但可能相关：groups.google.com/group/phonegap-dev/browse_thread/thread/…

这里是一个针对 Skype 的 XSS 攻击示例：theregister.co.uk/2011/09/20/skype_for_iphone_contact_theft

以下是针对 Android 的分析（可能已过时）：labs.mwrinfosecurity.com/blog/…

【参考方案1】：

您可以通过修改 PhoneGap.plist/Plugins 并删除任何不需要的来控制 API 访问。

在 PhoneGap 1.1（即将推出）中 - 有一个白名单功能（在 PhoneGap.plist/ExternalHosts 中），其中只能连接某些外部 URL - 在 JavaScript 或 Objective-C 中。

【讨论】：

如果您将该答案复制到***.com/questions/7564533/…，我可以接受您的答案，因为它准确地回答了这个问题！我不确定它是否回答了上述问题:) 谢谢

OOoops - 刚刚意识到我在要求你做你已经做过的事情 - duhhh！现在打勾了。

【参考方案2】：

这里谈到了 Cordova/PhoneGap 的安全问题：

http://packetstormsecurity.com/files/124954/apachecordovaphonegap-bypass.txt

“以下电子邮件于 2013 年 12 月 13 日和 2014 年 1 月 17 日再次发送至 Apache Cordova/PhoneGap。 由于没有回应，我们在此重新发布以提醒公众 Apache Cordova/PhoneGap 中的固有漏洞。”如果这是真的，我也会担心。

在 Android 上，如果 PhoneGap 使用 addJavascriptInterface() 作为桥接器，那么这会带来严重的安全隐患：

http://www.droidsec.org/news/2014/02/26/on-the-webview-addjsif-saga.html