Die Situation:

Alice verwendet eine Online-Banking-Website, auf der ein Cookie mit ihren Anmeldeinformationen gespeichert wird.

Bevor der Cookie abläuft, sendet Eve Alice eine bösartige URL, die Alice veranlasst, Geld von ihrem Bankkonto abzuheben und an Eve zu senden.

Dies ist ein gängiges CSRF-Beispiel für Webanwendungen, aber wie ist es möglich, dies in einer mobilen Anwendung zu tun?

Was ist, wenn Alice eine Bankanwendung auf ihrem Telefon verwendet, die einen Cookie speichert und dann eine Site von Eve besucht, die ein ähnliches Ergebnis erzielt?

Wird ein Cookie von einer nativen (oder hybriden) Anwendung auf Alices mobilem Gerät manipulationsgefährdet sein, oder werden diese Cookies in der Regel in einer Sandbox auf dem Gerät gespeichert?

Ich würde davon ausgehen, dass Cookies auf iOS, Android usw. genauso funktionieren wie normale Browser, aber ist dies tatsächlich der Fall?

BEARBEITEN:

Diese Frage sollte ursprünglich für alle Mobilgeräte gelten. Sogar etwas wie das Erstellen eines Cookies in JavaScript und die anschließende Verwendung von PhoneGap oder Titanium könnte meiner Meinung nach relevant sein. Nachdem ich mehr darüber gelesen habe, bin ich auch gespannt, ob das Kompilieren von JavaScript mit einer dieser anderen Technologien die Cookies von nativen Geräten und deren Speicherung beeinflusst.

Der Hauptzweck der Verwendung von Cookies besteht darin, die Anmeldeinformationen des Benutzers zu pflegen, damit er sich nicht jedes Mal mit seinem Bankkonto ab- und wieder anmelden muss. Nachdem Sie mehr über dieses Problem gelesen haben, scheint es unterschiedliche Szenarien für jedes einzelne Gerät zu geben, und es ist tatsächlich möglich, eine Anwendung mit CSRF zu versehen. Als Beispiel,Gemeinsame Einstellungen in Android sind Sandkästen, um zu verhindern, dass andere Anwendungen auf die Werte zugreifen.