Soy relativamente nuevo en seguridad de aplicaciones móviles. Actualmente se supone que debo auditar una aplicación de Android que utiliza una vista web para mostrar algunas páginas estáticas de preguntas frecuentes en una actividad.
La vista web en cuestión tiene javascript habilitado como verdadero por algunas razones comerciales. Ahora, yo como auditor de seguridad para la aplicación, estoy un poco preocupado por esto. Me gustaría entender que si esta actividad en particular (que carga la vista web) no está expuesta (ya que no está abierta a interacciones con ninguna otra aplicación en el dispositivo, como también confirmó Drozer), ¿sigue siendo vulnerable de alguna manera? / p>
¿Existe la posibilidad de que alguna otra aplicación fraudulenta en el dispositivo aún pueda interactuar con la vista web u obtener algún javascript arbitrario ejecutado en la vista web? Si es así, ¿por qué y cómo?
¿Qué debería recomendarse para que el uso de la vista web sea relativamente más seguro? Se agradecen los ejemplos de explicación y cualquier referencia.