Sono relativamente nuovo alla sicurezza delle applicazioni mobili. Attualmente dovrei controllare un'applicazione Android che utilizza una webview per visualizzare alcune pagine FAQ statiche in un'attività.
La webview in questione ha javascriptenabled come true per alcuni motivi commerciali. Ora, io come revisore della sicurezza per l'applicazione, sono un po 'preoccupato per questo. Mi piacerebbe capire che se questa particolare attività (che carica la webview) non è esposta (come in non è aperta alle interazioni con altre app sul dispositivo - come confermato anche da Drozer), è comunque vulnerabile in ogni caso?
C'è la possibilità che qualche altra applicazione canaglia sul dispositivo possa ancora interagire con la webview / ottenere qualche javascript arbitrario eseguito nella webview? Se sì, perché e come?
Cosa dovrebbe essere raccomandato per rendere l'utilizzo della webview relativamente più sicuro? Esempi per la spiegazione e qualsiasi riferimento sono apprezzati.