Te informacije so namenjene razvijalcem aplikacij, ki uporabljajo katero koli različico ogrodja Apache Cordova, starejšo od 4.1.1. Te različice vsebujejo varnostne ranljivosti in kršijo določilo pravilnika o vsebini glede nevarnih izdelkov ter razdelek 4.4 pogodbe o distribuciji za razvijalce.
V aplikacijah čim prej začnite uporabljati različico ogrodja Apache Cordova 4.1.1 ali novejšo in povečajte številko različice nadgrajenega APK-ja. Če uporabljate knjižnico drugega ponudnika, v katero je vključeno ogrodje Apache Cordova, obvestite drugega ponudnika in poskusite skupaj odpraviti težavo.
Kaj se dogaja?
Google Play je 11. julija 2016 začel blokirati objavo vseh novih aplikacij ali posodobitev, ki uporabljajo različice ogrodja Apache Cordova, starejše od 4.1.1. Preberite obvestilo v Konzoli Play. Morebitne aplikacije, ki imajo po rokih, navedenih v Konzoli Play, še vedno varnostne ranljivosti, bodo morda odstranjene iz Googla Play.
Potrebno ukrepanje
- Prijavite se v Konzolo Play in pojdite v razdelek Opozorila, kjer si lahko ogledate aplikacije, na katere se to nanaša, in roke, do katerih je treba odpraviti težave.
- Posodobite aplikacije, ki jih to zadeva, in odpravite ranljivost.
- Pošljite posodobljene različice aplikacij, ki jih to zadeva.
Ko aplikacijo znova pošljete, jo bomo spet pregledali. Ta postopek lahko traja več ur. Če aplikacija uspešno opravi pregled in je objavljena, ni potrebno dodatno ukrepanje. Če pregled ni uspešen, nova različica aplikacije ne bo objavljena in boste prejeli e-poštno obvestilo.
Dodatne informacije
- CVE-2015-5256; velja za različice ogrodja Apache Cordova, starejše od 4.1.1. V teh različicah je mogoče izkoristiti ranljivosti, ki omogočajo nepravilno uveljavljanje omejitev na podlagi seznamov dovoljenih v sistemu Android. To ima za posledico ranljivost, ker omejitve na podlagi seznama dovoljenih niso pravilno uveljavljene. Nepravilno oblikovane URI-je bi bilo mogoče uporabiti, da se obide seznam dovoljenih in s tem dovoli izvajanje Javascripta, ki ni na seznamu dovoljenih.
- CVE-2015-1835; velja za različice ogrodja Apache Cordova, starejše od 4.0.2. V teh različicah je mogoče izkoristiti ranljivosti, ki omogočajo oddaljeno spreminjanje sekundarnih konfiguracijskih spremenljivk v ogrodju Apache Cordova za Android. V aplikacijah, na katere to vpliva, ki v datoteki Config.xml nimajo nastavljenih izrecnih vrednosti, lahko Intent nastavi nedoločene konfiguracijske spremenljivke. To lahko povzroči prikazovanje neželenih pogovornih oken v aplikacijah in spremembe vedenja aplikacij, med drugim tudi vsiljenega zapiranja aplikacij.
- CVE-2014-3502; velja za različice ogrodja Apache Cordova, starejše od 3.5.1. To vključuje zelo resno ranljivost, ki omogoča izvajanje skriptov med aplikacijami (XAS). V nekaterih okoliščinah je ranljive aplikacije mogoče na daljavo izkoristiti za krajo občutljivih podatkov, kot so uporabniške poverilnice za prijavo.
Nadgradnja in tehnična vprašanja
Za pomoč pri nadgradnji obiščite spletno mesto za ogrodje Apache Cordova. Če imate tehnična vprašanja o ogrodju Apache Cordova, jih objavite na spletnem mestu https://www.stackoverflow.com/questions ter uporabite oznaki »android-security« in »cordova«.
Opomba: čeprav te ranljivosti morda ne vplivajo na vse aplikacije, ki uporabljajo različice okolja Apache Cordova, starejše od 4.1.1, priporočamo, da imate nameščene vse najnovejše varnostne popravke. Vzemite si čas in posodobite aplikacije, ki imajo zastarele odvisne knjižnice ali druge ranljivosti.
Pred objavo aplikacij poskrbite, da bodo skladne s pogodbo o distribuciji za razvijalce in pravilnikom o vsebini.
Tu smo, da vam pomagamo
Če imate tehnična vprašanja glede ranljivosti, jih objavite v skupnosti Stack Overflow in uporabite oznako »android-security«. Če potrebujete pojasnilo postopka, ki ga morate uporabiti za odpravljanje te težave, se lahko obrnete na skupino za podporo razvijalcem.