我创建了一个基于Phonegap / Cordova的Android应用,该应用使用Cookie,例如进行会话身份验证/自动登录。在安全审查中,人们提出了这样的问题:如果攻击者可以握住电话,则他可以读出cookie并劫持用户的会话。
是否可以通过编程方式对设备的存储进行加密,或者阻止使用Android OS 4.0及更高版本访问Cookie?我希望(但不坚持使用)易于与Phonegap / Cordova集成的解决方案。
从安全角度而言,这绝对不是问题,因为攻击者需要获取未锁定的设备才能劫持正在进行的会话。因此,加密会话cookie的想法是非常荒谬的-除了cookie会自动设置外,几乎不可能挂接到那里。
并且即使可以对其进行加密,当可以获得具有正在进行的会话的未锁定设备时,也完全不会阻止任何操作。这个概念是有缺陷的,没有被深思熟虑。
Frida要求root和adb ...而如果它是应用程序的调试版本,那么也可以连接调试桥。对于生产版本而言,攻击向量是不现实的,因为在尝试重新打包签名时,签名会被破坏。