Lab 3: 动态分析

实验目的

• 了解 Android Webview 和 JSBridge 的工作原理
• 了解如 Frida, Xposed 等的 Hook 工具或者其他的动态分析工具
• 使用动态分析工具验证 lab2 中潜在的隐私数据流

实验内容

在 Lab2 中我们假定了一些 WebView 相关的潜在 Sink 点，但是其中有很多是不合理的（方法本身不可达或不会有 source 流入等）; 因而在这次的实验中， 我们需要来验证这些 Sink 点是否合理，找到实际的隐私数据流。

本次实验需要使用动态分析工具来分析并验证一些潜在的平台型应用，推荐使用 Frida，但是也可以使用其他的动态分析工具。

请阅读 Frida Hook 了解如何使用 Frida 来 Hook Android 应用，并完成以下的任务:

• 在熟悉工具的同时使用 Frida 实现简易的 Hook 并记录在实验报告中，比如 修改高德地图的定位信息
• 了解 新版辅助H5页面定位 的相关内容，并调研是否存在其他的开放平台和 SDK 提供了类似的能力，并且分析它们具体是如何将原生能力暴露出来的

请阅读平台型应用案例并完成以下的任务:

• 请验证 案例分析 中提及的问题是否存在
• 对于 潜在的平台型应用 中的应用，请使用动态分析工具发现 WebView 相关的隐私数据流或者其他可能的问题

实验报告

实验报告应该清晰、有条理，有良好的格式和结构, 并且严禁抄袭

本次实验偏探索性质，形式较为自由，可自由组织内容，包括以下内容即可：

1. 实验过程和你完成的工作内容

2. (如果有)在实验中发现的问题，以及你认为可能的原因

实验提交

随堂验收

2023.5.10 课上, 有些需要演示的内容可以提前录制好

由于本次实验又遇上了劳动节假期，因而和 lab2 一样， DDL 会延迟一周

报告提交截止日期: 2023.5.14 23:59

• 提交邮箱: 191250004@smail.nju.edu.cn
• 提交内容：
  • 实验报告：lab3-report-学号.pdf
  • 其他材料可作为附件

lab3-学号-姓名.zip
└─lab3-学号-姓名
    ├─lab3-report-学号.pdf
    └─附件