本文面向的是发布的应用使用了 4.1.1 之前任意版本的 Apache Cordova 的开发者。低于 4.1.1 的 Apache Cordova 版本存在安全漏洞,违反了内容政策中关于危险产品的规定和《开发者分发协议》第 4.4 条的相关规定。
请尽快将您的应用迁移到 Apache Cordova v.4.1.1 或更高版本,并增加升级版 APK 的版本号。如果您使用的第三方库包含 Apache Cordova,请通知该第三方,并与其合作解决此问题。
问题说明
从 2016 年 7 月 11 日起,Google Play 开始禁止发布任何使用低于 4.1.1 的 Apache Cordova 版本的新应用或应用更新。请参阅 Play 管理中心内的通知。在 Play 管理中心内显示的截止日期过后,系统可能会将所有包含未修复安全漏洞的应用从 Google Play 中移除。
需要采取的行动
- 登录您的 Play 管理中心,然后转到“提醒”部分,了解受影响的应用以及解决这些问题的截止日期。
- 更新受影响的应用并修复漏洞。
- 提交受影响应用的更新版本。
重新提交后,我们会重新审核您的应用。审核过程可能需要几个小时才能完成。如果应用通过审核并成功发布,便无需进一步操作。如果应用未通过审核,则新版应用将无法发布,您会收到电子邮件通知。
更多详细信息
- CVE-2015-5256;低于 4.1.1 的 Apache Cordova 版本存在此漏洞。如果在 Android 上白名单限制应用不当,这些版本就很容易受到影响,从而导致出现系统无法正确应用白名单限制的漏洞。攻击者可能会利用以不当方式构建的 URI 来规避白名单,从而能够执行未加入白名单的 JavaScript。
- CVE-2015-1835;低于 4.0.2 的 Apache Cordova 版本存在此漏洞。这些版本容易受到他人在 Android 平台上远程利用 Apache Cordova 中次级配置变量进行的攻击。受到影响的应用如果未在 Config.xml 中设置明确的值,可能就会使用由 Intent 设置的未定义配置变量。这可能会导致应用中出现不必要的对话框,并使应用行为发生变化,可能包括强制关闭应用。
- CVE-2014-3502;低于 3.5.1 的 Apache Cordova 版本存在此漏洞。这类漏洞包括非常严重的跨应用脚本攻击 (XAS) 漏洞。在某些情况下,攻击者可能会远程利用存在安全漏洞的应用来窃取敏感信息(例如用户的登录凭据)。
升级和技术问题
如需升级方面的帮助,请参阅 Apache Cordova 网站。如果您有其他关于 Apache Cordova 的技术问题,请在 https://www.stackoverflow.com/questions 上发帖咨询(使用“android-security”和“cordova”标签)。
注意:尽管这些问题并非一定会影响使用低于 4.1.1 的 Apache Cordova 版本的所有应用,但我们仍建议您安装所有最新的安全补丁。另外,如果您的应用包含已过期的关联库或存在其他漏洞,请一并进行更新。
在发布应用前,请先确保应用符合开发者分发协议和内容政策的规定。
我们随时为您提供帮助
如果您有关于此漏洞的技术问题,可以在 Stack Overflow 上发帖咨询(使用“android-security”标签)。有关您需要采取哪些步骤来解决此问题的说明,请与我们的开发者支持团队联系。