PdfViewer
19
PDF.JSおよびコンテンツプロバイダーに基づく単純なAndroid PDFビューアー。アプリには権限は必要ありません。 PDFストリームは、コンテンツやファイルにアクセスすることなく、サンドボックス付きWebViewに供給されます。 Content-Security-Policyは、WebView内のJavaScriptとスタイリングプロパティがAPKアセットの完全な静的コンテンツであることを強制するために使用されます。硬化したクロムレンダリングスタックを再利用し、実際のWebコンテンツと比較して攻撃面の小さなサブセットのみを公開します。 PDFレンダリングコード自体は、動的なコード評価が無効になっているためメモリセーフであり、攻撃者が基礎となるWebレンダリングエンジンを利用してコード実行を取得したとしても、ネットワークにアクセスできないChromiumレンダラーサンドボックス内にあります(ブラウザとは異なります) 、ファイル、またはその他のコンテンツ。
