android - 移动应用中的 CSRF

Question

情况:

Alice 使用在线银行网站存储她的凭据 cookie。

在 cookie 过期之前，Eve 向 Alice 发送了一个恶意 URL，这随后导致 Alice 从她的银行账户中提取资金并将其发送给 Eve。

这是 Web 应用程序的常见 CSRF 示例，但在移动应用程序内部执行此操作的可行性如何？

---

如果 Alice 在她的手机上使用了一个存储 cookie 的银行应用程序，然后访问了 Eve 的网站，结果类似？

Alice 的移动设备上来自本地(或混合)应用程序的 cookie 是否容易受到操纵，或者这些 cookie 通常会以某种方式在设备上被沙盒化？

我会假设 iOS、Android 等设备上的 cookie 与普通浏览器的工作方式相同，但实际上是这样吗？

编辑:

这个问题原本是针对所有移动设备的通用问题。我相信，即使是在 JavaScript 中创建一个 cookie，然后使用 PhoneGap 或 Titanium 之类的东西也可能是相关的。在阅读了更多内容之后，我也很好奇使用这些其他技术之一编译 JavaScript 是否会影响 native 设备的 cookie 以及它们如何存储它们。

使用 cookie 的主要目的是维护用户的凭据，这样他们就不必每次都使用银行帐户注销并重新登录。在阅读了有关此问题的更多信息后，似乎每个特定设备都有不同的场景，实际上可以对应用程序进行 CSRF。例如， Shared Preferences 在 Android 中被沙盒化以防止其他应用程序访问这些值。

Answer 1

Will a cookie on Alice's mobile device from a native (or hybrid) application be vulnerable to manipulation, or are these cookies typically sand boxed on the device somehow?

CSRF 攻击涉及一个应用程序:浏览器。您提出的攻击涉及两个独立的应用程序:银行应用程序和浏览器。

一般来说，单独的应用程序是分开的。 Safari 不与 Firefox 共享数据，即使两者都安装在同一台 OS X 机器上。现在，其中一个或另一个可能存在错误，可能允许 JS 不受限制地访问 OS 文件系统，因此允许 Safari 中的网站访问 Firefox 的数据(反之亦然)，但这与 CSRF 无关.

对于任何现代操作系统上的任何独立应用程序都是如此。

Even something such as creating a cookie in JavaScript and then using PhoneGap or Titanium could be relevant I believe.

并非如此，就像 Safari 拥有 cookie 和 Firefox 拥有 cookie 一样。

it is in fact possible to CSRF an application

欢迎您提供证据证明您的主张，或提供您对 CSRF 的个人定义，其中包含 Safari 攻击 Firefox 等场景。

As an example, Shared Preferences in Android are sand boxed to prevent other applications from accessing the values.

正确。这与 CSRF 关系不大。

In the case of Android, it does seem that how you create and store the cookies does matter in the attack and it can have vulnerabilities.

再次，欢迎您提供证据证明您的主张，或提供您对 CSRF 的个人定义，其中包含 Safari 攻击 Firefox 等场景。

although physical access to the device leads to a security concern

拥有允许 CSRF 使移动设备物理改变其位置并因此对物理访问产生影响的传送器技术尚未开发。