論文の概要: Demystifying Cookie Sharing Risks in WebView-based Mobile App-in-app Ecosystems

• arxiv url: http://arxiv.org/abs/2510.24141v1
• Date: Tue, 28 Oct 2025 07:29:18 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-10-29 15:35:36.887943
• Title: Demystifying Cookie Sharing Risks in WebView-based Mobile App-in-app Ecosystems
• Title（参考訳）: WebViewベースのモバイルアプリエコシステムにおけるクッキー共有リスクの最小化
• Authors: Miao Zhang, Shenao Wang, Guilin Zheng, Yanjie Zhao, Haoyu Wang,
• Abstract要約: 我々はCross Mini- Program Cookie Sharing (CMCS)と呼ばれる新しい脆弱性を導入する。 予備的なステップとして、WeChat、AliPay、TikTok、Baiduを含む4つの主要なプラットフォームのWebビューメカニズムを分析しました。 CMCSでは、特権を持つミニプログラムがクッキーを介して機密データを出力し、特権のないミニプログラムにアクセスできるコラシオン攻撃を実証する。
• 参考スコア（独自算出の注目度）: 14.936425463792682
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Mini-programs, an emerging mobile application paradigm within super-apps, offer a seamless and installation-free experience. However, the adoption of the web-view component has disrupted their isolation mechanisms, exposing new attack surfaces and vulnerabilities. In this paper, we introduce a novel vulnerability called Cross Mini-program Cookie Sharing (CMCS), which arises from the shared web-view environment across mini-programs. This vulnerability allows unauthorized data exchange across mini-programs by enabling one mini-program to access cookies set by another within the same web-view context, violating isolation principles. As a preliminary step, we analyzed the web-view mechanisms of four major platforms, including WeChat, AliPay, TikTok, and Baidu, and found that all of them are affected by CMCS vulnerabilities. Furthermore, we demonstrate the collusion attack enabled by CMCS, where privileged mini-programs exfiltrate sensitive user data via cookies accessible to unprivileged mini-programs. To measure the impact of collusion attacks enabled by CMCS vulnerabilities in the wild, we developed MiCoScan, a static analysis tool that detects mini-programs affected by CMCS vulnerabilities. MiCoScan employs web-view context modeling to identify clusters of mini-programs sharing the same web-view domain and cross-webview data flow analysis to detect sensitive data transmissions to/from web-views. Using MiCoScan, we conducted a large-scale analysis of 351,483 mini-programs, identifying 45,448 clusters sharing web-view domains, 7,965 instances of privileged data transmission, and 9,877 mini-programs vulnerable to collusion attacks. Our findings highlight the widespread prevalence and significant security risks posed by CMCS vulnerabilities, underscoring the urgent need for improved isolation mechanisms in mini-program ecosystems.
• Abstract（参考訳）: スーパーアプリにおける新たなモバイルアプリケーションパラダイムであるミニプログラムは、シームレスでインストール不要なエクスペリエンスを提供する。 しかし、Webビューコンポーネントの採用により、分離メカニズムが破壊され、新たなアタックサーフェスと脆弱性が公開された。 本稿では,Cross Mini- Program Cookie Sharing (CMCS) と呼ばれる,ミニプログラム間の共有Webビュー環境から生じる新たな脆弱性を紹介する。 この脆弱性は、あるミニプログラムが同じWebビューコンテキスト内で設定されたクッキーにアクセスし、分離原則に違反して、ミニプログラム間での不正なデータ交換を可能にする。 予備的なステップとして、WeChat、AliPay、TikTok、Baiduを含む4つの主要なプラットフォームのWebビューメカニズムを分析しました。 さらに,CMCSによって実現されたコラシオン攻撃を実証し,特権を持つミニプログラムがクッキーを介して機密データを抽出し,特権のないミニプログラムにアクセスできることを示す。 CMCSの脆弱性による衝突攻撃の影響を測定するため,我々は,CMCSの脆弱性に影響を受けるミニプログラムを検出する静的解析ツールであるMiCoScanを開発した。 MiCoScanはWebビューコンテキストモデリングを使用して、同一のWebビュードメインを共有するミニプログラムのクラスタと、Webビューへのセンシティブなデータ送信を検出するクロスWebビューデータフロー分析を識別する。 MiCoScanを用いて351,483個のミニプログラムを大規模に分析し、Webビュードメインを共有する45,448個のクラスタ、特権データ送信の7,965個のインスタンス、そしてコラシオン攻撃に脆弱な9,877個のミニプログラムを同定した。 以上の結果から,CMCSの脆弱性による広範囲な普及と重大なセキュリティリスクが指摘され,ミニプログラムエコシステムにおける分離機構の改善が急務であることが示された。

関連論文リスト

• HackWorld: Evaluating Computer-Use Agents on Exploiting Web Application Vulnerabilities [20.201614123811872]
  HackWorldは、視覚的インタラクションを通じてWebアプリケーションの脆弱性を悪用するコンピュータ利用エージェントの機能を評価するための最初のフレームワークである。 11のフレームワークと7つの言語にまたがる36の現実世界のアプリケーションが含まれており、インジェクションの脆弱性、認証バイパス、安全でない入力処理といった現実的な欠陥を特徴としている。 複雑なWebインターフェースをナビゲートしながら、これらの弱点を特定し、活用するためのCUAの能力をテストする。
  論文  参考訳（メタデータ） (2025-10-14T06:52:15Z)
• Enabling Security on the Edge: A CHERI Compartmentalized Network Stack [42.78181795494584]
  CHERIは、きめ細かい区画化とメモリ保護を可能にすることにより、ハードウェアレベルでの強力なセキュリティを提供する。 ケーススタディでは,Arm Morelloプラットフォーム上にデプロイされたCheriBSDシステム上での分離アプリケーション,TCP/IPライブラリ,ネットワークドライバのトレードオフについて検討した。
  論文  参考訳（メタデータ） (2025-07-07T09:37:59Z)
• CyberGym: Evaluating AI Agents' Real-World Cybersecurity Capabilities at Scale [45.97598662617568]
  我々は188のソフトウェアプロジェクトにわたる1,507の実際の脆弱性を特徴とする大規模ベンチマークであるCyberGymを紹介した。 我々はCyberGymが35のゼロデイ脆弱性と17の歴史的不完全なパッチを発見できることを示した。 これらの結果は、CyberGymは、サイバーセキュリティにおけるAIの進歩を測定するための堅牢なベンチマークであるだけでなく、直接的な現実世界のセキュリティ効果を生み出すためのプラットフォームでもあることを強調している。
  論文  参考訳（メタデータ） (2025-06-03T07:35:14Z)
• RedTeamCUA: Realistic Adversarial Testing of Computer-Use Agents in Hybrid Web-OS Environments [30.268800549190335]
  コンピュータ利用エージェント(CUA)はOS(OS)とウェブにまたがる複雑なタスクを自動化することを約束するが、間接的なプロンプトインジェクションには弱いままである。 我々は,VMベースのOS環境とDockerベースのWebプラットフォームを統合する,新しいハイブリッドサンドボックスを備えた,敵対的なテストフレームワークであるRedTeamCUAを提案する。 RedTeamCUAは、CUAの脆弱性を現実的で、制御され、体系的に分析するために必要なフレームワークを提供する。
  論文  参考訳（メタデータ） (2025-05-28T03:42:09Z)
• TinyML Security: Exploring Vulnerabilities in Resource-Constrained Machine Learning Systems [12.33137384257399]
  Tiny Machine Learning (TinyML)システムは、リソースに制約のあるデバイス上での機械学習推論を可能にする。 TinyMLモデルはセキュリティ上のリスクを生じさせ、重み付けによって機密性の高いデータやクエリインターフェースをエンコードする可能性がある。 この論文は、TinyMLのセキュリティ脅威に関する最初の徹底的な調査を提供する。
  論文  参考訳（メタデータ） (2024-11-11T16:41:22Z)
• Enhancing TinyML Security: Study of Adversarial Attack Transferability [0.35998666903987897]
  この研究は、リソース制約の組込みハードウェア上でAIモデルの敵対的脆弱性を掘り下げるものである。 以上の結果から,強力なホストマシンからの敵攻撃は,ESP32やRaspberry Piなど,より小型で安全性の低いデバイスに転送される可能性が示唆された。 このことは、敵対的攻撃が小さなデバイスに拡張され、脆弱性が強調され、TinyMLデプロイメントにおける強化されたセキュリティ対策の必要性を強調していることを示している。
  論文  参考訳（メタデータ） (2024-07-16T10:55:25Z)
• Securing the Open RAN Infrastructure: Exploring Vulnerabilities in Kubernetes Deployments [60.51751612363882]
  ソフトウェアベースのオープン無線アクセスネットワーク(RAN)システムのセキュリティへの影響について検討する。 我々は、Near Real-Time RAN Controller(RIC)クラスタをサポートするインフラストラクチャに潜在的な脆弱性と設定ミスがあることを強調します。
  論文  参考訳（メタデータ） (2024-05-03T07:18:45Z)
• Systematic Analysis of Security and Vulnerabilities in Miniapps [12.900904404633957]
  Miniappsはモバイルインターネット分野において非常に重要である。 Miniappsは、センシティブなデータの整合性を損なうことなく、直接的に影響を及ぼすことができる。 本稿では,ミニアプリのセキュリティリスクを軽減するために,ユーザ,サーバ,攻撃者に着目したトリアド脅威モデルを提案する。
  論文  参考訳（メタデータ） (2023-11-19T17:47:26Z)
• Learned-Database Systems Security [46.898983878921484]
  機械学習(ML)による脆弱性を識別するフレームワークを開発する。 MLを用いることでデータベース内の過去のクエリが漏洩し、指数的なメモリ爆発を引き起こして数秒でクラッシュする中毒攻撃が可能になることを示す。 敵MLはデータベースシステムにおける学習コンポーネントに対する普遍的な脅威であることがわかった。
  論文  参考訳（メタデータ） (2022-12-20T15:09:30Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。