מידע זה מיועד למפתחי אפליקציות שמשתמשים בכל גרסה של Apache Cordova הקודמת ל-4.1.1. גרסאות אלה מכילות פרצות אבטחה והן מפרות את התנאי מוצרים מסוכנים של מדיניות התוכן ואת סעיף 4.4 של הסכם ההפצה למפתחים.
יש להעביר את האפליקציות לגרסה 4.1.1 ואילך של Apache Cordova בהקדם האפשרי, ולהגדיל את מספר הגרסה של ה-APK המשודרג. אם אתם משתמשים בספרייה של צד שלישי שכוללת את Apache Cordova, יש ליידע את הצד השלישי ולשתף איתו פעולה כדי לטפל בבעיה.
מה קורה?
החל מ-11 ביולי 2016, Google החלה לחסום פרסומים של אפליקציות או עדכונים חדשים שמשתמשים בגרסאות Apache Cordova שקודמות ל-4.1.1. יש לעיין בהודעה שב-Play Console.לאחר המועדים האחרונים לתיקון שמוצגים ב-Play Console, אפליקציות שיכילו פרצות אבטחה לא מתוקנות יוסרו מ-Google Play.
הפעולה הנדרשת
- נכנסים לחשבון Play Console, ועוברים לקטע ההתראות כדי לבדוק אילו אפליקציות מושפעות מהבעיות ומהם המועדים האחרונים לתיקון.
- מעדכנים את האפליקציות המושפעות ומתקנים את פרצת האבטחה.
- שולחים את הגרסאות המעודכנות של האפליקציות המושפעות.
לאחר השליחה החוזרת, האפליקציה שלכם תיבדק שוב. תהליך זה עשוי להימשך כמה שעות. אם האפליקציה עוברת את הבדיקה ומתפרסמת בהצלחה, לא יהיה צורך בפעולה נוספת. אם האפליקציה תיכשל בבדיקה, גרסת האפליקציה החדשה לא תתפרסם ותקבלו התראה באימייל.
פרטים נוספים
- CVE-2015-5256; רלוונטי ל-Apache Cordova בגרסאות שקודמות ל-4.1.1. בגרסאות האלה קיימת נקודת תורפה בהגבלות של רשימת היתרים שלא מיושמות כראוי ב-Android. כשהגבלות של רשימת היתרים לא מיושמות כראוי, נוצרת נקודת תורפה. ניתן להשתמש במזהי URI שלא נוצרו כראוי כדי לעקוף את רשימת ההיתרים, וכך להריץ JavaScript שלא נמצא ברשימת ההיתרים.
- CVE-2015-1835; רלוונטי ל-Apache Cordova בגרסאות שקודמות ל-4.0.2. נקודת התורפה בגרסאות האלה קשורה לניצול מרחוק של משתני תצורה משניים ב-Apache Cordova במכשירי Android. בעזרת מנגנון Intent, ניתן להגדיר משתני תצורה בלתי מוגדרים לאפליקציות המושפעות, שלא מוגדרים להן ערכים מפורשים בקובץ Config.xml. בעקבות זאת, ייתכן שיופיעו תיבות דו-שיח לא רצויות באפליקציות, ויהיו שינויים בהתנהגות האפליקציות, שיכללו, בין השאר, אילוץ לסגירת האפליקציה.
- CVE-2014-3502; רלוונטי ל-Apache Cordova בגרסאות שקודמות ל-3.5.1. נקודות התורפה כוללות נקודת תורפה אחת בדרגת חומרה גבוהה של הרצת סקריפטים באפליקציות שונות (XAS). בנסיבות מסוימות, ייתכן שאפליקציות פגיעות ינוצלו מרחוק על מנת לגנוב מידע רגיש, כמו פרטי ההתחברות של המשתמש.
שדרוג ושאלות טכניות
לקבלת עזרה בשדרוג, עיין באתר של Apache Cordova. אם יש לכם שאלות טכניות נוספות על Apache Cordova, יש לפרסם אותן בדף https://www.stackoverflow.com/questions ולהשתמש בתגים “android-security” וכן “cordova”.
הערה: אף על פי שייתכן שבעיות אלה לא משפיעות על כל אפליקציה שמשתמשת בגרסאות Apache Cordova הקודמות ל-4.1.1, מומלץ להתקין את כל תיקוני האבטחה העדכניים. אנו מבקשים שתקדיש את הזמן הנחוץ לעדכון אפליקציות המכילות ספריות תלויות שאינן עדכניות, או נקודות תורפה אחרות.
לפני פרסום האפליקציות, יש לוודא שהן תואמות להסכם ההפצה למפיצים ולמדיניות התוכן.
אנחנו כאן כדי לעזור
אם יש לכם שאלות טכניות בנוגע לפגיעוּת זו, ניתן לפרסם פוסט באתר Stack Overflow ולהשתמש בתג “android-security”. משהו לא ברור בשלבים לפתרון הבעיה? ניתן לפנות אל צוות התמיכה שלנו למפתחים.