Эта информация предназначена для разработчиков, в чьих приложениях используются версии Apache Cordova ниже 4.1.1. Эти версии содержат уязвимости и нарушают правила в отношении контента (раздел Вредоносные продукты), а также Соглашение о распространении программных продуктов (раздел 4.4).
Как можно скорее переведите свои приложения на Apache Cordova версии 4.1.1 или выше и обновите номера версий APK-файлов. Если вы используете стороннюю библиотеку, включающую Apache Cordova, обратитесь к ее разработчику за помощью в решении проблемы.
Общая информация
С 11 июля 2016 года в Google Play нельзя публиковать приложения и обновления, использующие версии Apache Cordova ниже 4.1.1. Вам необходимо принять меры до даты, указанной в Play Console. После нее приложения, содержащие уязвимости, могут быть удалены из Google Play.
Необходимые действия
- Чтобы узнать, какие приложения уязвимы и как скоро нужно устранить проблему, войдите в Play Console и откройте раздел "Оповещения".
- Обновите приложения и устраните уязвимость.
- Опубликуйте обновленные версии приложений.
После этого мы проведем повторную проверку, которая может занять несколько часов. Если уязвимость устранена и вы видите, что приложение опубликовано, дополнительных действий не потребуется. Если проблема не решена, новая версия не будет опубликована и вы получите уведомление по электронной почте.
Сведения об уязвимостях
- CVE-2015-5256. Проблема обнаружена в версиях Apache Cordova ниже 4.1.1. Из-за нее ограничения белого списка в Android могут применяться неправильно. Это позволяет злоумышленникам использовать URI для обхода таких ограничений и выполнять коды JavaScript, которые не входят в список одобренных.
- CVE-2015-1835. Проблема обнаружена в версиях Apache Cordova ниже 4.0.2. Она позволяет удаленно использовать вторичные переменные конфигурации в Apache Cordova на платформе Android. Если в файле Сonfig.xml не указаны значения переменных, они могут быть заданы при помощи намерения. Это может привести к появлению нежелательных диалоговых окон и нарушениям в работе приложения (например, к его принудительному закрытию).
- CVE-2014-3502. Проблема обнаружена в версиях Apache Cordova ниже 3.5.1. Включает серьезную уязвимость скриптинга между приложениями (XAS). При определенных обстоятельствах злоумышленники могут использовать приложения удаленно для кражи конфиденциальной информации, например учетных данных.
Обновление и технические вопросы
Подробные инструкции по поводу обновления можно найти на сайте Apache Cordova. Если у вас останутся технические вопросы, задайте их на сайте https://www.stackoverflow.com/questions, используя теги android-security и cordova.
Примечание. Хотя описанные выше уязвимости могут затрагивать не все приложения, созданные в версиях Apache Cordova ниже 4.1.1, мы рекомендуем своевременно устанавливать все обновления, связанные с безопасностью. Пожалуйста, обновите приложения, при создании которых использовались устаревшие и уязвимые библиотеки.
Прежде чем опубликовать приложение, убедитесь, что оно соответствует условиям Соглашения о распространении программных продуктов и Правилам в отношении контента.
Мы всегда рады помочь!
Если у вас есть вопросы, задайте их, используя тег android-security. Чтобы получить более подробные разъяснения, свяжитесь с командой поддержки для разработчиков.