柯芬芬

摘? ?要：隨著移動互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，移動支付、共享單車、短視頻等相繼出現(xiàn)在眾人視野，與之相伴的各種高危漏洞也呈大幅上升的趨勢。文章對當前流行的跨平臺移動應(yīng)用開發(fā)框架進行優(yōu)缺點分析，然后對移動應(yīng)用開發(fā)過程中可能存在的WebView安全漏洞提出一些防護措施。

關(guān)鍵詞：跨平臺移動應(yīng)用;安全漏洞;WebView

中國互聯(lián)網(wǎng)絡(luò)信息中心（China Internet Information Center，CNNIC）發(fā)布的第44次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》[1] 顯示：截至2019年6月，99.1%的網(wǎng)民更青睞于使用手機上網(wǎng)，龐大的移動用戶意味著龐大的移動市場，因此各大企業(yè)紛紛將目光聚焦在移動應(yīng)用開發(fā)市場。各類黑客經(jīng)常以移動應(yīng)用為目標，通過惡意獲取不同消費者的個人信息和消費細節(jié)來從中牟利，迫使開發(fā)人員在構(gòu)建移動應(yīng)用程序時，需要密切關(guān)注移動應(yīng)用的安全問題。

目前，iOS和Android占據(jù)了移動操作系統(tǒng)絕大多數(shù)的市場份額，如果開發(fā)人員想要開發(fā)一款支持多平臺的移動應(yīng)用，就必須針對iOS和Android這兩個平臺分別開發(fā)，企業(yè)付出的成本和時間會成倍增加。于是跨平臺的概念走進了人們的視野?？缙脚_開發(fā)是指應(yīng)用的開發(fā)與運行不依賴于操作系統(tǒng)和硬件環(huán)境，在一個系統(tǒng)下開發(fā)的應(yīng)用，能同時運行于其他系統(tǒng)和平臺中。跨平臺開發(fā)是為了增加業(yè)務(wù)代碼的復用率，減少因要適配多個平臺所帶來的工作量，從而降低開發(fā)成本，實現(xiàn)一套代碼多端使用，也能夠保證一致的用戶體驗。本研究分析了當前流行的跨平臺移動應(yīng)用開發(fā)技術(shù)的原理和優(yōu)缺點，指出其在開發(fā)移動應(yīng)用程序時可能存在的安全問題，并且提出了相應(yīng)的安全防護措施。

1? ? 跨平臺開發(fā)框架

近幾年隨著小程序，Web及APP多端的發(fā)展，迫使企業(yè)在開發(fā)移動應(yīng)用時不得不考慮人力成本問題，如果一款移動應(yīng)用能同時具有iOS，Android等多個系統(tǒng)的版本，毋庸置疑該多平臺移動應(yīng)用一定能進入更大的潛在市場，多端統(tǒng)一開發(fā)已是大勢所趨。市場上跨平臺框架[2]較多，下面介紹幾個較為常用的框架：

1.1? uni-app

uni-app是一個使用Vue.js開發(fā)所有前端應(yīng)用的框架，開發(fā)者編寫一套代碼，可發(fā)布到iOS，Android，H5以及各種小程序等多個平臺。其優(yōu)點如下：（1）uni-app開發(fā)體驗對前端開發(fā)者比較友好，學習成本低，上手很快。（2）是提供云打包和本地打包，對沒有蘋果Mac電腦的人是福音。（3）uni-app是由DCloud出品、國產(chǎn)開源的框架，周邊生態(tài)豐富，官網(wǎng)提供了多個官方QQ交流群，開發(fā)遇到問題時可以在群里直接咨詢。（4）開發(fā)出來的項目運行性能良好，整體用戶體驗效果和原生相差不大。但由于uni-app問世的時間短，其的不足之處也較為明顯：（1）部分功能操作仍要求編程人員具備原生開發(fā)經(jīng)驗。（2）在使用過程中存在部分Bug及問題，比如地圖、手機震動。（3）涉及大量圖片展示時，左右選項卡滑動可能存在些許的卡頓。

1.2? Flutter

Flutter是Google推出并開源的移動應(yīng)用開發(fā)框架，采用Dart語言開發(fā)APP，其設(shè)計目標是使開發(fā)人員能夠交付在不同平臺上都感覺是自然流暢的高性能應(yīng)用程序，實現(xiàn)只需一套代碼就可以同時生成iOS和Android兩個高性能、高保真的應(yīng)用程序。

Flutter框架有以下幾點優(yōu)勢：（1）Flutter提供了豐富的組件、接口，聚焦于原生體驗的功能，分層的架構(gòu)允許開發(fā)者創(chuàng)建美觀和高度定制的用戶體驗。（2）Flutter的熱重載可幫助開發(fā)者快速地進行測試、構(gòu)建UI、添加功能并更快地修復錯誤。在iOS和Android模擬器或真機上可以實現(xiàn)毫秒級熱重載，并且不會丟失狀態(tài)，修改后，應(yīng)用界面會立即更新。（3）Flutter可以復用現(xiàn)有的Java，Swift或Objective-C代碼，訪問iOS和Android上的原生系統(tǒng)功能和系統(tǒng)SDK。然而Flutter框架自身也存在不足之處，一是涉及硬件層功能場景的訪問，仍然需要用原生代碼實現(xiàn)接入;二是熱更新能力，相比H5，React有所欠缺。

1.3? React? Native

Facebook于2015年9月15日發(fā)布React Native框架，開發(fā)者可以使用JavaScript和React開發(fā)iOS和Android跨平臺移動應(yīng)用，采用JavaScript和XML-esque標記的混合編寫，提倡組件化開發(fā)，提供一個個封裝好的組件讓開發(fā)者使用，組件也可以嵌套形成新的組件。

React Native框架的優(yōu)勢之處如下：（1）靈活高效的應(yīng)用更新，不論是使用Android還是iPhone手機下載應(yīng)用之后，開發(fā)者都可以在用戶無感知的情況下加入新界面及新的業(yè)務(wù)邏輯。（2）一次學習，隨處編寫，使用React-Native可以為iOS/Android兩個操作系統(tǒng)開發(fā)應(yīng)用程序，不同平臺上的代碼根據(jù)平臺會有一些微小的區(qū)別，但開發(fā)思路是相同的。（3）采用JS+原生渲染，擺脫了webview的交互和性能問題，相比H5性能有所提高。但其缺點也較為明顯，如嚴重依賴于Facebook 的維護，必須在不同平臺下寫兩套代碼;經(jīng)常有不可預(yù)期的Bug。

2? ? 跨平臺移動應(yīng)用的安全漏洞與防護

一次編寫、多平臺運行，不需要針對特定平臺進行開發(fā)的跨平臺移動應(yīng)用備受編程者的青睞，但隨之而來的就是移動應(yīng)用安全問題[3]的凸顯，黑客利用跨平臺移動應(yīng)用程序可能存在的漏洞來進行攻擊，其中WebView引起的安全問題和漏洞尤為明顯。WebView是iOS/Android用于顯示網(wǎng)頁的控件，是一個基于Webkit引擎、展現(xiàn)Web頁面的控件。Android平臺的WebView組件主要存在WebView任意代碼執(zhí)行漏洞[4]、密碼明文存儲漏洞，下面針對上述漏洞作一些介紹。

2.1? WebView任意代碼執(zhí)行漏洞

WebView任意代碼執(zhí)行漏洞產(chǎn)生的原因：由于WebView未正確限制調(diào)用addJavascriptInterface（）方法，遠程攻擊者可通過使用Java Reflection API（Java反射機制）利用該漏洞執(zhí)行任意Java對象的方法。

解決方案：Android API level 17以及以上的系統(tǒng)版本，被JavaScript調(diào)用的方法必須以@JavascriptInterface進行注解聲明，同時設(shè)置minSdkVersion值大于或等于17，使應(yīng)用不能在4.2以下系統(tǒng)上運行。

2.2? WebView密碼明文存儲漏洞

WebView密碼明文存儲漏洞產(chǎn)生的原因：由于WebView組件默認開啟密碼保存功能mWebView.setSavePassword（true），當用戶輸入密碼時，會彈框詢問用戶是否保存密碼，如果選擇是，密碼會被明文保存到應(yīng)用數(shù)據(jù)目錄的databases/webview.db中，這樣會造成用戶的個人敏感數(shù)據(jù)泄露。

解決方案：調(diào)用mWebView.getSettings（）.setSavePassword（false）代碼來顯示關(guān)閉WebView密碼保存提醒功能。

iOS平臺的WebView組件（UIWebView/WKWebView）存在控件跨域訪問漏洞，產(chǎn)生漏洞的原因是UIWebView 默認允許“file：//” 域發(fā)起跨域請求，而WKWebView可通過手動設(shè)置允許“file：//”域發(fā)起跨域請求。攻擊者可利用App文件下載機制將惡意文件寫入沙盒內(nèi)并誘導用戶打開，當用戶打開惡意文件時，其中的惡意代碼可通過AJAX向“file：//”域發(fā)起請求，從而遠程獲取App內(nèi)所有的本地敏感數(shù)據(jù)。iOS平臺的應(yīng)用一旦在使用WebView組件時未考慮上述情況的話就會受到漏洞影響，其解決方案是盡量避免在WebView中加載來自外部傳入的“file：//”域頁面;對于敏感信息數(shù)據(jù)，建議進行加密處理后存儲，或使用iOS平臺推薦的KeyChain服務(wù)進行存儲，可緩解漏洞可能造成的破壞。

3? ? 結(jié)語

本研究首先對當前流行的跨平臺移動應(yīng)用開發(fā)框架進行優(yōu)缺點分析，緊接著對在開發(fā)過程中利用WebView組件時可能存在的安全漏洞進行闡述，并且提出相應(yīng)的解決方案。

[參考文獻]

[1]中國互聯(lián)網(wǎng)絡(luò)信息中心.第44次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告[EB/OL].（2019-08-30）[2020-03-10].http：//www.cnnic.net.cn/hlwfzyj/.

[2]金誠.移動應(yīng)用跨平臺開發(fā)框架的比較分析[J].民營科技，2018（10）：150-152.

[3]愛加密平臺.2019年第二季度全國移動App安全性研究報告[EB/OL].（2019-08-09）[2020-03-10].https：//www.freebuf.com/column/210912.html.

[4]黃青青.Android應(yīng)用中的JavaScript使用模式及其安全漏洞分析[D].南京：南京理工大學，2017.

Research on security of cross-platform mobile application development technology

Ke Fenfen

（Jiangxi Modern Polytechnic College， Nanchang 330095， China）

Abstract：With the continuous development of mobile Internet technology， mobile payments， bike sharing， short videos， etc. have appeared in the publics eyes one after another， and various high-risk vulnerabilities accompanying it have also shown a significant upward trend. This article analyzes the advantages and disadvantages of the current popular cross-platform mobile application development framework， and then puts forward some protection measures for WebView security vulnerabilities that may exist in the process of mobile application development.

Key words：cross-platform mobile applications; security breach; WebView