Bu bilgi, Apache Cordova'nın 4.1.1 sürümünden önceki herhangi bir sürümünü kullanan uygulama geliştiricileri için hazırlanmıştır. Bu sürümlerde güvenlik açıkları bulunmaktadır ve bu durum, İçerik Politikası'nın Tehlikeli ürünler hükmü ile Geliştirici Dağıtım Sözleşmesi'nin 4.4 numaralı bölümünü ihlal etmektedir.
Lütfen uygulamalarınızı mümkün olan en kısa zamanda Apache Cordova 4.1.1 veya sonraki bir sürüme taşıyın ve yeni sürüme geçirilmiş APK'nın sürüm numarasını yükseltin. Apache Cordova içeren bir 3. taraf kitaplığı kullanıyorsanız lütfen bu durumu 3. tarafa bildirin ve sorunu çözmek için kendileriyle birlikte çalışın.
Neler oluyor?
Google Play, 11 Temmuz 2016'dan itibaren Apache Cordova'nın 4.1.1 öncesi sürümlerini kullanan yeni uygulamaların veya güncellemelerin yayınlanmasını engellemeye başlamıştır. Lütfen Play Console hesabınızdaki bildirime bakın. Play Console'unuzda gösterilen son tarihten sonra, düzeltilmemiş güvenlik açıkları içeren tüm uygulamalar Google Play'den kaldırılabilir.
Yapılması gerekenler
- Play Console hesabınızda oturum açıp Uyarılar bölümüne gidin. Burada hangi uygulamaların etkilendiğini ve bu sorunları çözmeniz gereken son tarihleri görebilirsiniz.
- Etkilenen uygulamalarınızı güncelleyin ve güvenlik açığını düzeltin.
- Etkilenen uygulamalarınızın güncellenmiş sürümlerini gönderin.
Uygulamanız, yeniden göndermenizin ardından tekrar incelenir. Bu işlem birkaç saat sürebilir. Uygulama incelemeden başarıyla geçerek yayınlanırsa başka bir işleme gerek yoktur. Uygulama incelemede başarısız olursa yeni uygulama sürümü yayınlanmaz ve bir e-posta bildirimi alırsınız.
Ek ayrıntılar
- CVE-2015-5256; Apache Cordova'nın 4.1.1 öncesi sürümleri için geçerlidir. Bu sürümler, Android'deki beyaz liste kısıtlamalarının uygun olmayan şekilde uygulanmasıyla ilgili güvenlik açığı içermektedir. Bu durum, beyaz liste kısıtlamalarının doğru şekilde uygulanamadığı bir güvenlik açığına neden olmaktadır. Beyaz listeyi atlatmak amacıyla doğru işlenmeyen URI'lar kullanılabilir ve bunun sonucunda, beyaz listede bulunmayan JavaScript kodları yürütülebilir.
- CVE-2015-1835; Apache Cordova'nın 4.0.2 öncesi sürümleri için geçerlidir. Bu sürümler, Android'de Apache Cordova'nın ikincil yapılandırma değişkenlerini uzaktan kullanmaya yönelik bir güvenlik açığı içermektedir. Bu durumdan etkilenen ve Config.xml dosyasında açık bir şekilde ayarlanmış değerleri olmayan uygulamaların, Intent tarafından ayarlanmış tanımlanmayan yapılandırma değişkenleri olabilir. Bu, uygulamalarda istenmeyen iletişim kutularının görünmesine ve uygulamanın çalışma şeklinde, zorla kapatılmayı da içerebilen değişikliklere neden olabilir.
- CVE-2014-3502; Apache Cordova'nın 3.5.1 öncesi sürümleri için geçerlidir. Güvenlik açıkları, uygulamalar arası komut dosyası oluşturma (XAS) ile ilgili çok ciddi güvenlik açığı içermektedir. Belirli durumlarda, güvenlik açığı bulunan uygulamalar, kullanıcı giriş bilgileri gibi hassas bilgilerin çalınması için uzaktan kullanılabilir.
Yeni sürüme geçme ve teknik sorular
Yeni sürüme geçişle ilgili yardım için lütfen Apache Cordova web sitesine bakın. Apache Cordova hakkında diğer teknik sorularınızı lütfen "android-security" ve "cordova" etiketlerini kullanarak https://www.stackoverflow.com/questions sayfasında yayınlayın.
Not: Bu sorunlar, Apache Cordova'nın 4.1.1 öncesi sürümlerini kullanan her uygulamayı etkilemese de, tüm güvenlik yamalarıyla uygulamanın güncel kalmasını sağlamak en iyi yoldur. Lütfen şimdi zaman ayırıp eski bağımlı kitaplıkları veya diğer güvenlik açıkları bulunan uygulamaları güncelleyin.
Uygulamaları yayınlamadan önce lütfen Geliştirici Dağıtım Sözleşmesi ve İçerik Politikası'na uygun olduklarından emin olun.
Yardıma hazırız
Güvenlik açığı hakkında teknik sorularınız varsa sorularınızı Stack Overflow'da yayınlayabilir ve “android-security” etiketini kullanabilirsiniz. Bu sorunu çözmek için uygulamanız gereken adımlarla ilgili bilgi almak isterseniz geliştirici destek ekibimize ulaşabilirsiniz.