Ситуация:
Алиса использует веб-сайт онлайн-банкинга, в котором хранится файл cookie ее учетных данных.
До истечения срока действия файла cookie Eve отправляет Алисе злонамеренный URL-адрес, который впоследствии заставляет Алису снимать деньги со своего банковского счета и отправлять его в Eve.
Это общий пример CSRF для веб-приложений, но насколько это возможно сделать в мобильном приложении?
Что делать, если Алиса использует банковское приложение на своем телефоне, где хранится файл cookie, а затем посещает сайт от Eve, который имеет аналогичный результат?
Будет ли cookie на мобильном устройстве Alice из родного (или гибридного) приложения уязвимым для манипуляции или эти куки обычно как-то песка помещаются на устройстве?
Я бы предположил, что файлы cookie на iOS, Android и т.д. работают так же, как обычный браузер, но на самом деле это так?
EDIT:
Первоначально этот вопрос должен был быть общим для всех мобильных устройств. Я думаю, что даже что-то вроде создания cookie в JavaScript, а затем с помощью PhoneGap или Titanium. Прочитав больше в этом, мне также интересно, если компиляция JavaScript с использованием одной из этих других технологий повлияет на куки файлы собственных устройств и их сохранение.
Основным моментом использования файлов cookie было бы поддерживать учетные данные пользователя, чтобы им не приходилось каждый раз выходить из системы и регистрироваться в своем банковском счете. Прочитав больше об этой проблеме, кажется, что для каждого конкретного устройства существуют разные сценарии, и на самом деле это возможно для CSRF-приложения. Например, Общие предпочтения в Android помечены в песочнице, чтобы другие приложения не обращались к значениям.