【摘要】：WebView在安卓和iOS平臺上都是很重要的組件，它使得智能手機(jī)和平板電腦的應(yīng)用(apps)都能內(nèi)嵌一個簡單但是強(qiáng)大的瀏覽器在其中。為了滿足應(yīng)用和其內(nèi)嵌瀏覽器的很好交互，WebView提供了很多APIs（應(yīng)用程序編程接口），允許應(yīng)用的java代碼調(diào)用網(wǎng)頁中的javascript代碼，，允許獲取對方的事件信息或更改他們的事件，反之依然可行。使用這些特性，應(yīng)用能夠?yàn)榱怂麄兯谕木W(wǎng)絡(luò)用途而成為一種專有化的瀏覽器�，F(xiàn)如今，在安卓市場中，在十種不同分類下的排名前20的應(yīng)用中，接近90%都使用WebView。 WebView的設(shè)計改變了Web的發(fā)展現(xiàn)狀，尤其是在安全方面。WebView和其APIs的使用，使得Web安全基礎(chǔ)架構(gòu)中兩個基本的方面被削弱：分別是客戶端的TCB（可信計算基）和瀏覽器端的sandbox（沙盒保護(hù)）。我們把WebView的APIs分為兩類，分別是基于Web的APIs和基于UI的APIs，我們分別研究使用這兩類APIs的攻擊手段。隨后我們研究針對WebView攻擊的最根本問題所在，并制定了一個通用模型，我們稱之為容器威脅模型。我們認(rèn)為造成這種攻擊可行的原因在于系統(tǒng)沒能保護(hù)它的視覺完整性。從這個角度來說，我們研究了現(xiàn)有的對策，并給出一個通用的解決方案，制定一個類似TCB的方法來解決這個問題，我們稱之為TDB（可信顯示基）。我們使用邊信道來傳遞丟失的視覺信息給用戶。從訪問控制的角度來看，我們使用動態(tài)的綁定策略模型，使服務(wù)器可以根據(jù)客戶端情境的不同執(zhí)行不同的限制措施。 本文的主要研究成果如下： 1.對基于WebView的攻擊進(jìn)行歸納分析總結(jié)； 2.提出一種容器威脅模型，并嘗試在安卓平臺上對抗這種攻擊模型。 3.在安卓平臺使用邊信道來給用戶傳遞丟失的視覺信息，并提出一個新型的動態(tài)綁定策略模型來阻止針對視覺完整性的攻擊。
[Abstract]:WebView is an important component on both Android and iOS, allowing (apps), a smartphone and tablet app, to embed a simple but powerful browser in it. To satisfy the good interaction between an application and its embedded browser, WebView provides a number of APIs (Application programming Interface) that allow the application's java code to invoke the javascript code in the Web page, get the other party's event information, or change their events. Vice versa is still feasible. With these features, applications can become a proprietary browser for their desired network use. Today, in the Android market, nearly 90 percent of the top 20 apps in 10 different categories use WebView. WebView designs to change the status quo of Web, especially in terms of security. WebView and its APIs. Two basic aspects of Web security infrastructure are weakened: client TCB (trusted Computing Base) and browser-side sandbox (sandboxie protection). We divide the APIs of WebView into two categories, that is, APIs based on Web and APIs, based on UI. Then we study the most fundamental problem of WebView attack, and develop a general model, which we call container threat model. We believe that this attack is possible because the system fails to protect its visual integrity. From this point of view, we study the existing countermeasures, and give a general solution, develop a similar TCB method to solve this problem, we call it TDB (trusted display Base). We use edge channels to transmit lost visual information to the user. From the point of view of access control, we use a dynamic binding policy model to enable the server to perform different restrictions according to client scenarios. The main research results of this paper are as follows: 1. The attack based on WebView is summarized. 2. Propose a container threat model and try to counter it on Android. 3. 3. Side channels are used to transmit lost visual information to users on Android platform, and a new dynamic binding strategy model is proposed to prevent attacks against visual integrity.
【學(xué)位授予單位】：西安電子科技大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2014
【分類號】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 沈鑫剡;俞海英;魏濤;李興德;;病毒防御機(jī)制綜述[J];中國新通信;2011年17期

2 林明;;端點(diǎn)準(zhǔn)入防御機(jī)制在氣象網(wǎng)絡(luò)安全改造中的應(yīng)用研究[J];硅谷;2011年14期

3 葉進(jìn);林婧;張向利;;基于802.15.4的低速率拒絕休眠攻擊及其防御機(jī)制研究[J];傳感技術(shù)學(xué)報;2013年05期

4 吳信一;百利一害?談無線網(wǎng)絡(luò)的安全[J];計算機(jī)安全;2002年06期

5 殷茜;;基于排隊(duì)論的SIP DoS攻擊防御機(jī)制的研究[J];重慶郵電大學(xué)學(xué)報(自然科學(xué)版);2008年04期

6 金培莉;岳江紅;曹東亞;俞丞濤;;ARP欺騙分析及快速防御機(jī)制的建立[J];中山大學(xué)學(xué)報(自然科學(xué)版);2009年S1期

7 王建;陳興蜀;馮偉森;楊鄧奇;;基于DHT的消息轉(zhuǎn)發(fā)防御機(jī)制研究[J];四川大學(xué)學(xué)報(工程科學(xué)版);2011年06期

8 ;讓客戶端威脅土崩瓦解[J];軟件世界;2002年10期

9 肖原,王晟,李樂民;基于主動網(wǎng)的SYN攻擊防御[J];電子科技大學(xué)學(xué)報;2003年03期

10 胡玲玲;楊壽保;王菁;;P2P網(wǎng)絡(luò)中Sybil攻擊的防御機(jī)制[J];計算機(jī)工程;2009年15期

相關(guān)會議論文 前5條

1 鐘建軍;陳中永;;武警心理健康與人格防御機(jī)制的關(guān)系研究[A];培養(yǎng)創(chuàng)新型人才、推進(jìn)科技創(chuàng)新、推動轉(zhuǎn)變經(jīng)濟(jì)發(fā)展方式——內(nèi)蒙古自治區(qū)第六屆自然科學(xué)學(xué)術(shù)年會優(yōu)秀論文集[C];2011年

2 馬君;;防御機(jī)制、社會替代性補(bǔ)償與壓力應(yīng)對:來自旅游的證據(jù)[A];社會主義與中國現(xiàn)代化 政治·法律與社會：上海市社會科學(xué)界第七屆學(xué)術(shù)年會文集（2009年度）政治·法律·社會學(xué)科卷[C];2009年

3 葉金輝;;防御機(jī)制對青年農(nóng)民生活事件、社會支持的影響[A];第十屆全國心理學(xué)學(xué)術(shù)大會論文摘要集[C];2005年

4 陳雅嫻;李超;;對IMS的DoS攻擊檢測和防御機(jī)制[A];全國計算機(jī)安全學(xué)術(shù)交流會論文集·第二十五卷[C];2010年

5 蔡雅琦;徐光興;;心理咨詢與治療收費(fèi)知覺研究[A];第十二屆全國心理學(xué)學(xué)術(shù)大會論文摘要集[C];2009年

相關(guān)重要報紙文章 前10條

1 記者 孫明河;我國科學(xué)家首次觀測到低等植物防御機(jī)制直接證據(jù)[N];科技日報;2000年

2 任高平 李祖革;“亞腐敗”防御機(jī)制探析[N];揚(yáng)州日報;2006年

3 鎮(zhèn)江市丹徒區(qū)檢察院 錢坤邋周鏢 王琪;檢察網(wǎng)上舉報系統(tǒng)應(yīng)強(qiáng)化安全防范[N];江蘇法制報;2008年

4 記者　 劉峰 特約記者 徐義 黃曉霞;新區(qū)派出所對租房戶實(shí)行旅館式登記管理[N];泰州日報;2006年

5 本報記者 邢夢宇;歐盟欲修改貿(mào)易防御機(jī)制 中國企業(yè)進(jìn)入門檻提高[N];中國貿(mào)易報;2013年

6 湖南省衡陽市第一精神病醫(yī)院 譚貴星;印度“超女”“癱瘓”到底怨誰[N];大眾衛(wèi)生報;2008年

7 趙綱;我國預(yù)警和防御機(jī)制仍待健全[N];農(nóng)民日報;2004年

8 陳翔;用強(qiáng)“芯”替代IDS[N];中國計算機(jī)報;2004年

9 新華社記者 毛磊;尼古丁 致癌物的幫兇[N];新華每日電訊;2003年

10 武英;執(zhí)法保障百姓食肉安全[N];檢察日報;2004年

相關(guān)碩士學(xué)位論文 前10條

1 繆小幼;防御機(jī)制的情境性變化及其變化對焦慮情緒影響的對照研究[D];蘇州大學(xué);2010年

2 周慧淵;自尊與防御機(jī)制使用關(guān)系研究[D];浙江大學(xué);2008年

3 周舟;青年學(xué)生兒童化傾向的心理機(jī)制及其社會動因研究[D];南京師范大學(xué);2005年

4 賈軍;科研道德失范及其防御機(jī)制的確立[D];武漢理工大學(xué);2007年

5 王\

本文編號：2283046