Queste informazioni sono rivolte agli sviluppatori di app che utilizzano versioni di Apache Cordova precedenti alla versione 4.1.1. Tali versioni presentano vulnerabilità di sicurezza che violano la disposizione sui prodotti dannosi delle norme relative ai contenuti e la sezione 4.4 del Contratto di distribuzione per gli sviluppatori.
Esegui l'upgrade delle tue app ad Apache Cordova v.4.1.1 o versioni successive appena possibile e incrementa il numero della versione dell'APK aggiornato. Se utilizzi una libreria di terze parti che comprende Apache Cordova, informa la terza parte e cercate di risolvere insieme il problema.
Situazione attuale
Dall'11 luglio 2016 Google Play impedisce la pubblicazione di eventuali nuove app o aggiornamenti che usano versioni precedenti alla 4.1.1 di Apache Cordova. Consulta la notifica sulla Play Console. Passate le scadenze indicate nella Play Console, tutte le app che contengono vulnerabilità di sicurezza non corrette verranno rimosse da Google Play.
Azione richiesta
- Accedi alla Play Console e vai alla sezione Avvisi per scoprire quali app sono interessate dai problemi e le scadenze per risolverli.
- Aggiorna le app interessate e correggi la vulnerabilità.
- Invia le versioni aggiornate delle tue app coinvolte.
Quando invii nuovamente le app, queste vengono riesaminate. Questa procedura può richiedere diverse ore. Se l'app supera il controllo e viene pubblicata correttamente, non sono necessari ulteriori interventi. Se l'applicazione non supera il controllo, la nuova versione dell'app non verrà pubblicata e riceverai una notifica via email.
Ulteriori dettagli
- CVE-2015-5256; riguarda le versioni di Apache Cordova precedenti alla 4.1.1. Queste versioni sono vulnerabili all'applicazione impropria di limitazioni relative alla whitelist su Android. Ciò comporta una vulnerabilità di errata applicazione delle limitazioni in questione. Gli URI generati in modo improprio potrebbero essere utilizzati per aggirare la whitelist e consentire così l'esecuzione di JavaScript non autorizzato.
- CVE-2015-1835; riguarda le versioni di Apache Cordova precedenti alla 4.0.2. Queste versioni sono vulnerabili a un exploit remoto di variabili di configurazione secondarie in Apache Cordova su Android. Le app interessate per cui non sono stati impostati valori espliciti nel file Config.xm possono avere variabili di configurazione non definite impostate da Intent. Questo può causare la visualizzazione di finestre di dialogo indesiderate nelle applicazioni e alterazioni del comportamento di queste ultime, che potrebbero includere la chiusura forzata.
- CVE-2014-3502; riguarda le versioni di Apache Cordova precedenti alla 3.5.1. Le vulnerabilità includono una vulnerabilità Cross Application Scripting (XAS) di elevata gravità. In determinate circostanze, le app vulnerabili potrebbero essere utilizzate da remoto per carpire dati sensibili, ad esempio le credenziali di accesso dell'utente.
Upgrade e domande tecniche
Per ricevere assistenza per l'upgrade, visita il sito web di Apache Cordova. Pubblica eventuali altre domande tecniche su Apache Cordova sul sito https://www.stackoverflow.com/questions utilizzando i tag "android-security" e "cordova".
Nota: anche se questi problemi specifici potrebbero non riguardare ogni app che utilizza versioni di Apache Cordova precedenti alla 4.1.1, è meglio essere sempre aggiornati su tutte le patch di sicurezza. Ti invitiamo ad aggiornare le app con librerie dipendenti obsolete o con altre vulnerabilità.
Prima di pubblicare app, assicurati che siano conformi al Contratto di distribuzione per gli sviluppatori e alle Norme relative ai contenuti.
Siamo qui per aiutarti
Puoi pubblicare eventuali domande tecniche relative alla vulnerabilità su Stack Overflow con il tag "android-security". Per chiarimenti sui passaggi da seguire per risolvere il problema, puoi contattare il nostro team di assistenza per gli sviluppatori.