Практически всегда, когда говорят об уязвимостях в WebView — имеют ввиду возможности по выполнению JS кода, если это не отключено, чтение файлов, если опять-таки не отключена такая возможность и другие похожие проблемы.

Но вот другой интересный момент на который стоит обратить внимание, что если защищать нужно не ваше приложение, которое использует WebView, а вашу страницу, которое другое приложение отображает и данные клиентов, которую вводят на ней информацию? Простой пример — в стороннем приложении «партнера» нужно осуществить логин в ваш сервис и для этого используется Web страница. Что может сделать приложение с данными, которые отправляются через WebView и какие способы от этого защититься есть?

Подробная статья про разные методы защиты  (CSP, Iframe Sandbox, X-XSS-Protection), в чем их смысл, как их можно обойти и что делать-то в итоге? Плюс этой статьи, что к каждому примеру есть работающие приложения, чтобы попробовать самому пройти все эти шаги и код, который можно изучить.

И в догонку пост от Mail.ru двухгодичной давности, но актуальный до сих пор, про безопасность мобильного OAuth2.0. Всем, кто использует или предоставляет такую возможность очень рекомендую к изучению, ребята очень дотошно и качественно подошли к материалу. Комментарии к этой статье тоже несут много полезной информации, что необычно.

stingray-subscribe-btn1