Abstract Many Android applications embed webpages via WebView components and execute JavaScript code within Android. Hybrid applications leverage dedicated APIs to load a resource and render it in a WebView. Furthermore, Android objects can be shared with the JavaScript world. However, bridging the interfaces of the Android and JavaScript world might also incur severe security threats: Potentially untrusted webpages and their JavaScript might interfere with the Android environment and its access to native features. No general analysis is currently available to assess the implications of such hybrid apps bridging the two worlds. To understand the semantics and effects of hybrid apps, we perform a large-scale study on the usage of the hybridization APIs in the wild. We analyze and categorize the parameters to hybridization APIs for 7,500 randomly selected and the 196 most popular applications from the Google Playstore as well as 1000 malware samples. Our results advance the general understanding of hybrid applications, as well as implications for potential program analyses, and the current security situation: We discovered thousands of flows of sensitive data from Android to JavaScript, the vast majority of which could flow to potentially untrustworthy code. Our analysis identified numerous web pages embedding vulnerabilities, which we exemplarily exploited. Additionally, we discovered a multitude of applications in which potentially untrusted JavaScript code may interfere with (trusted) Android objects, both in benign and malign applications.

中文翻译：

---

android的大规模分析——Web混合

摘要 许多 Android 应用程序通过 WebView 组件嵌入网页并在 Android 中执行 JavaScript 代码。混合应用程序利用专用 API 加载资源并将其呈现在 WebView 中。此外，Android 对象可以与 JavaScript 世界共享。但是，连接 Android 和 JavaScript 世界的接口也可能会招致严重的安全威胁：潜在不受信任的网页及其 JavaScript 可能会干扰 Android 环境及其对本机功能的访问。目前还没有一般性分析可用于评估连接这两个世界的此类混合应用程序的影响。为了了解混合应用程序的语义和效果，我们对混合 API 在野外的使用情况进行了大规模研究。我们分析并分类了 7 种混合 API 的参数，从 Google Playstore 中随机选择了 500 个和 196 个最受欢迎的应用程序以及 1000 个恶意软件样本。我们的结果促进了对混合应用程序的一般理解，以及对潜在程序分析和当前安全状况的影响：我们发现了从 Android 到 JavaScript 的数千个敏感数据流，其中绝大多数可能流向可能不可信的代码。我们的分析发现了许多嵌入漏洞的网页，我们示例性地利用了这些漏洞。此外，我们发现了许多应用程序，其中潜在不受信任的 JavaScript 代码可能会干扰（受信任的）Android 对象，无论是良性应用程序还是恶意应用程序。我们的结果促进了对混合应用程序的一般理解，以及对潜在程序分析和当前安全状况的影响：我们发现了从 Android 到 JavaScript 的数千个敏感数据流，其中绝大多数可能流向可能不可信的代码。我们的分析发现了许多嵌入漏洞的网页，我们示例性地利用了这些漏洞。此外，我们发现了许多应用程序，其中潜在不受信任的 JavaScript 代码可能会干扰（受信任的）Android 对象，无论是良性应用程序还是恶意应用程序。我们的结果促进了对混合应用程序的一般理解，以及对潜在程序分析和当前安全状况的影响：我们发现了从 Android 到 JavaScript 的数千个敏感数据流，其中绝大多数可能流向可能不可信的代码。我们的分析发现了许多嵌入漏洞的网页，我们示例性地利用了这些漏洞。此外，我们发现了许多应用程序，其中潜在不受信任的 JavaScript 代码可能会干扰（受信任的）Android 对象，无论是良性应用程序还是恶意应用程序。其中绝大多数可能会流向可能不可信的代码。我们的分析发现了许多嵌入漏洞的网页，我们示例性地利用了这些漏洞。此外，我们发现了许多应用程序，其中潜在不受信任的 JavaScript 代码可能会干扰（受信任的）Android 对象，无论是良性应用程序还是恶意应用程序。其中绝大多数可能会流向可能不可信的代码。我们的分析发现了许多嵌入漏洞的网页，我们示例性地利用了这些漏洞。此外，我们发现了许多应用程序，其中潜在不受信任的 JavaScript 代码可能会干扰（受信任的）Android 对象，无论是良性应用程序还是恶意应用程序。