A situação:

Alice usa um site de banco on-line que armazena um cookie de suas credenciais.

Antes do cookie expirar, Eve envia a Alice uma URL maliciosa que faz com que Alice retire dinheiro de sua conta bancária e a envie para Eve.

Este é um exemplo comum de CSRF para aplicativos da Web, mas como é possível fazer isso dentro de um aplicativo móvel?

E se Alice usar um aplicativo bancário em seu telefone que armazena um cookie e, em seguida, visitar um site de Eve que tenha um resultado semelhante?

Um cookie no dispositivo móvel de Alice de um aplicativo nativo (ou híbrido) estará vulnerável a manipulação, ou esses cookies são tipicamente encaixados no dispositivo de alguma forma?

Eu diria que os cookies no iOS, Android, etc. funcionam da mesma forma que um navegador normal, mas é esse o caso?

EDITAR:

Esta questão foi originalmente concebida para ser genérica em todos os dispositivos móveis. Até mesmo algo como criar um cookie em JavaScript e usar PhoneGap ou Titanium pode ser relevante, acredito. Depois de ler mais sobre isso, também estou curioso para saber se compilar o JavaScript usando uma dessas outras tecnologias afetaria os cookies dos dispositivos nativos e como eles são armazenados.

O ponto principal do uso de cookies seria manter as credenciais do usuário para que eles não precisassem fazer logout e login novamente com a conta bancária. Depois de ler mais sobre esse problema, parece que há cenários diferentes para cada dispositivo em particular e, na verdade, é possível que o CSRF seja um aplicativo. Como um exemplo,Preferências Compartilhadas no Android são sandbox para evitar que outros aplicativos acessem os valores.