Les applications hybrides combinent des composants web et natifs, exposant des surfaces d’attaque spécifiques : vulnérabilités côté client, communication non sécurisée entre les couches, mauvaise gestion des permissions natives, injection via des ponts JavaScript-natifs. La sécurité nécessite l’analyse du code web embarqué, la vérification des canaux de communication entre les composants, la validation des données échangées entre les contextes et la protection des API natives exposées à la couche web.