Denne informasjonen er beregnet på utviklere av apper som bruker en eldre versjon av Apache Cordova enn 4.1.1. Disse versjonene inneholder sikkerhetssvakheter og bryter med bestemmelsen for farlige produkter i retningslinjene for innhold samt del 4.4 av distribusjonsavtalen for utviklere.
Overfør appene dine til Apache Cordova-versjon 4.1.1 eller høyere så fort som mulig, og oppdater versjonsnummeret for den oppgraderte APK-en. Hvis du bruker et tredjepartsbibliotek som inneholder Apache Cordova, bør du varsle den aktuelle tredjeparten og samarbeide med dem om å løse problement.
Hva skjer?
Fra og med 11. juli 2016 begynte Google Play å blokkere publisering av nye apper eller oppdateringer med versjoner av Apache Cordova som er eldre enn 4.1.1. Les varselet i Play-konsollen. Alle apper som inneholder uløste sikkerhetssvakheter, kan bli fjernet fra Google Play etter tidsfristene som vises i Play-konsollen din.
Handling kreves
- Logg på Play-konsollen og gå til Varsler-delen for å se hvilke apper som er berørt, samt tidsfristene for å løse disse problemene.
- Oppdater de berørte appene og løs sikkerhetssvakheten.
- Send inn de oppdaterte versjonene av de berørte appene.
Hvis du sender apper inn igjen, blir de vurdert på nytt. Denne prosessen kan ta flere timer. Hvis gjennomgangen er vellykket og appene publiseres som de skal, trenger du ikke å iverksette ytterligere tiltak. Hvis gjennomgangen mislykkes, publiseres ikke de nye appversjonene, og du mottar et e-postvarsel.
Flere detaljer
- CVE-2015-5256 – gjelder for versjoner av Apache Cordova som er eldre enn 4.1.1. Disse versjonene er sårbare for uriktig bruk av godkjenningsrestriksjoner på Android. Dette resulterer i en svakhet som kan føre til at godkjenningsrestriksjoner ikke brukes på riktig måte. URI-er som er opprettet på feil måte, kan brukes til å omgå godkjenningen. Dette åpner for bruk av ikke-godkjent JavaScript.
- CVE-2015-1835 – gjelder for versjoner av Apache Cordova som er eldre enn 4.0.2. Disse versjonene er sårbare for at de sekundære konfigurasjonsvariablene i Apache Cordova på Android blir utnyttet eksternt. Berørte apper som ikke har eksplisitte verdier i Config.xml, kan ha udefinerte konfigurasjonsvariabler i Intent. Dette kan føre til at det vises uønskede dialogbokser i apper, samt at appers atferd endres, noe som kan innebære at de tvangsavsluttes.
- CVE-2014-3502 – gjelder for versjoner av Apache Cordova som er eldre enn 3.5.1. Én av sikkerhetssvakhetene er en svært alvorlig XAS-svakhet (cross-application scripting). Under bestemte forhold kan sårbare apper utnyttes eksternt til å stjele sensitiv informasjon, f.eks. påloggingslegitimasjonen til brukerne.
Tekniske spørsmål og spørsmål om oppgradering
Hvis du trenger hjelp med å oppgradere, gå til nettstedet til Apache Cordova. Hvis du har andre tekniske spørsmål om Apache Cordova, kan du legge dem ut på https://www.stackoverflow.com/questions med taggene «android-security» og «cordova».
Merk: Selv om disse problemene kanskje ikke påvirker alle appene som bruker versjoner av Apache Cordova som er eldre enn 4.1.1, er det lurt å holde seg oppdatert på alle feilrettinger (patches). Vi anbefaler at du oppdaterer apper som bruker utdaterte bibliotek eller har andre svakheter.
Før du publiserer apper, må du sørge for at de overholder distribusjonsavtalen for utviklere og retningslinjene for innhold.
Vi hjelper deg gjerne
Hvis du har tekniske spørsmål om sikkerhetsproblemet, kan du skrive et innlegg på Stack Overflow og bruke «android-security»-etiketten. Hvis du vil ha mer informasjon om hva du må gjøre for å løse dette problemet, kan du kontakte brukerstøtteteamet for utviklere.