2011-09-27 127 views
0

攻擊者有多少電話被強化?尤其是我們自己頁面中的XSS漏洞,PhoneGap API暴露給未知的攻擊者。PhoneGap是否安全?

例如,iPhone上的PhoneGap.exec()命令是否安全?

從JavaScript中,PhoneGap.exec命令令我擔心,例如, PhoneGap.exec(successCB, errorCB, "com.phonegap.contacts","search", [{"fields":fields, "findOptions":options}]);(針對iPhone目標的JavaScript複製from here)。 exec命令理論上應該受到限制,並且只有能夠訪問PhoneGap API類(本例中爲com.phonegap.contacts)和方法(例如本例中的搜索)。

如果我們的應用程序中存在XSS可調性,那麼與僅在瀏覽器沙箱中運行相比,任何攻擊者的攻擊面都會擴大。最終用戶的手機面臨PhoneGap中的任何漏洞,可能允許攻擊者訪問特權的ObjectiveC代碼/ api。我可以在PhoneGap安全was this上找到唯一的文檔。

+1

不是的PhoneGap /安全專家,但不管執行的應用程序在自己的安全沙箱中運行的所有iOS平臺。這應該限制任何PhoneGap特定安全漏洞的暴露。 http://developer.apple.com/library/ios/#documentation/iphone/conceptual/iphoneosprogrammingguide/RuntimeEnvironment/RuntimeEnvironment.html – Perception

+0

與Android相關 - 但可能相關:http://groups.google.com/group/ phonegap-dev/browse_thread/thread/1049124ad37abacb – robocat

+0

以下是針對Skype的XSS攻擊示例: http://www.theregister.co.uk/2011/09/20/skype_for_iphone_contact_theft/ – robocat

回答

1

您可以通過修改PhoneGap.plist/Plugins並刪除任何不需要的控件來控制API訪問。

隨着PhoneGap的1.1(即將推出) - 存在其中只有某些外部URL可以被連接到一個白名單功能(在PhoneGap.plist/ExternalHosts) - 無論是在JavaScript或Objective-C。

+0

如果您將該答案複製到http://stackoverflow.com/questions/7564533/how-to-disable- phonegap-apis-functionality我可以接受你的答案,因爲它完全回答了這個問題!我不確定它是否回答了上述問題:)謝謝 – robocat

+0

OOoops - 剛剛意識到我要求你做你已經做過的事 - 呃!現在打勾。 – robocat

0

這大約科爾多瓦/ PhoneGap的安全問題進行會談:

http://packetstormsecurity.com/files/124954/apachecordovaphonegap-bypass.txt

「下面的電子郵件是在2014年1月17日發送至Apache Cordova/PhoneGap的在2013年12月13日,又一次。 由於沒有迴應,我們在這裏重新發布它,以提醒普通大衆 Apache Cordova/PhoneGap的固有漏洞。「如果這是真的,我也會關心我。

在Android上,如果PhoneGap的使用addJavascriptInterface()爲橋樑,然後在出現嚴重的安全隱患:

http://www.droidsec.org/news/2014/02/26/on-the-webview-addjsif-saga.html