该论文系统性地评估了应用内浏览器（WebView）的证书验证机制，重点分析其对X.509证书标准的遵循程度以及对撤销和证书透明（CT）等高级证书扩展的支持情况。作者开发了一个统一的测试框架FAITH，利用物理iOS设备和Android模拟器，克服了Android 14及以上版本平台特定信任锚控制的挑战。通过115条精心构造的证书链（包括87条非合规链和28条用于测试高级扩展的链），对20个流行的Android和iOS应用以及桌面和移动浏览器进行了测试。结果表明，Android WebView应用接受了77.0%的非合规证书链，并且所有非合规中间CA证书测试均被接受，远高于主流浏览器和iOS应用。根因分析发现，Android WebView依赖系统级的证书验证处理程序，该程序执行最简检查且不支持OCSP Must-Staple和预证书（Precertificate）等扩展。此外，中间CA证书在验证过程中会被缓存并重用，导致证书检查被意外绕过。为了展示现实影响，作者构建了详细的CA缓存攻击场景，并向包括Google在内的相关厂商披露，该漏洞已被确认为有效安全漏洞。最后，论文提出了改进WebView证书验证行为的建议，如增强系统级验证、强制支持关键扩展、避免证书缓存重用等。该研究对于移动应用安全、特别是应用内浏览器的证书验证防护具有重要参考价值。