PhoneGap безопасен?

Question

Насколько защищена телефонная связь от злоумышленников? Особенно недостатки XSS на наших страницах, где API PhoneGap открыт неизвестному злоумышленнику.

Например, безопасна ли команда PhoneGap.exec () на iPhone?

Из JavaScript меня беспокоит команда PhoneGap.exec, например. PhoneGap.exec(successCB, errorCB, "com.phonegap.contacts","search", [{"fields":fields, "findOptions":options}]); (JavaScript для цели iPhone скопирован отсюда ). Теоретически команда exec должна быть ограничена, и только должен иметь доступ к классам API PhoneGap (com.phonegap.contacts в этом примере) и методам (например, поиск в этом примере).

Если в нашем приложении есть уязвимость XSS, то у любого злоумышленника есть расширенная поверхность атаки по сравнению с запуском в изолированной программной среде браузера. Телефон конечного пользователя подвержен любым уязвимостям в PhoneGap, которые могут позволить злоумышленнику получить доступ к привилегированному коду ObjectiveC / API. Единственная документация, которую я смог найти по безопасности PhoneGap , была .

Answer 1

Вы можете контролировать доступ к API, изменив PhoneGap.plist / Plugins и удалив ненужные.

В PhoneGap 1.1 (скоро) - есть функция белого списка (в PhoneGap.plist / ExternalHosts), к которой могут быть подключены только определенные внешние URL - либо в JavaScript, либо в Objective-C.

Answer 2

Это говорит о проблемах безопасности Cordova / PhoneGap:

http://packetstormsecurity.com/files/124954/apachecordovaphonegap-bypass.txt

"Следующее письмо было отправлено в Apache Cordova / PhoneGap 13.12.2013 и снова 17.01.2014. Поскольку ответа не было, мы публикуем его здесь, чтобы предупредить широкую публику. из внутренних уязвимостей в Apache Cordova / PhoneGap. "также будет беспокоить меня, если это правда.

В Android, если PhoneGap использует addJavascriptInterface () для моста, это имеет серьезные последствия для безопасности:

http://www.droidsec.org/news/2014/02/26/on-the-webview-addjsif-saga.html