不安全WebView集成:漏洞金矿 文章揭示了移动Web3钱包中WebView集成的安全漏洞:WebView会继承宿主应用的权限,但缺乏来源隔离,恶意dApp可无授权访问相机、GPS等权限;WebView未限制本地网络访问,dApp可探测用户家庭设备;React Native WebView的injectJavaScriptObject存在代码注入漏洞(UXSS)。作者在20多个主流钱包中发现了这些漏洞,并提供了利用示例和修补建议。 WebView 权限泄露 React Native 本地网络访问 UXSS 安全漏洞 osecio 发布于 2026-06-19 49 0 0
