Aceste informații sunt destinate dezvoltatorilor de aplicații care folosesc orice versiune Apache Cordova anterioară versiunii 4.1.1. Aceste versiuni conțin vulnerabilități de securitate și încalcă prevederea privind Produsele periculoase din Politica de conținut și secțiunea 4.4 din Acordul de distribuire pentru dezvoltatori.
Migrați aplicațiile la Apache Cordova v.4.1.1 sau la o versiune ulterioară cât mai curând și incrementați numărul versiunii pentru APK-ul căruia i s-a făcut upgrade. Dacă folosiți o bibliotecă terță parte care include Apache Cordova, notificați terța parte respectivă și colaborați cu aceasta pentru remedierea problemei.
Ce se întâmplă
Începând din 11 iulie 2016, Google Play a început să blocheze publicarea aplicațiilor noi și a actualizărilor care folosesc versiuni Apache Cordova anterioare versiunii 4.1.1. Consultați notificarea din Play Console. După termenele limită afișate în Play Console, toate aplicațiile care conțin vulnerabilități de securitate neremediate pot fi eliminate din Google Play.
Acțiune necesară
- Conectați-vă la Play Console și navigați la secțiunea Alerte ca să vedeți ce aplicații sunt afectate și care sunt termenele limită pentru remedierea problemelor.
- Actualizați aplicațiile afectate și remediați vulnerabilitatea.
- Trimiteți versiunile actualizate ale aplicațiilor afectate.
După retrimiterea solicitării, aplicația dvs. va fi examinată din nou. Procesul poate dura câteva ore. Dacă aplicația trece de etapa de examinare și este publicată, nu mai este necesară nicio acțiune din partea dvs. Dacă aplicația nu trece de examinare, noua versiune a aplicației nu va fi publicată și veți primi o notificare prin e-mail.
Detalii suplimentare
- CVE-2015-5256; este valabilă pentru versiunile Apache Cordova anterioare versiunii 4.1.1. Aceste versiuni sunt vulnerabile față de aplicarea necorespunzătoare a restricțiilor privind lista albă pe Android. Când restricțiile privind lista albă nu sunt aplicate corespunzător, rezultatul este o vulnerabilitate. Identificatorii URI alcătuiți necorespunzător pot fi folosiți pentru a eluda lista albă, permițând executarea de cod JavaScript care nu este trecut în lista albă.
- CVE-2015-1835; este valabilă pentru versiunile Apache Cordova anterioare versiunii 4.0.2. Aceste versiuni sunt vulnerabile față de exploatarea de la distanță a variabilelor de configurare secundare din Apache Cordova pe Android. Pentru aplicațiile afectate care nu au valori explicite setate în Config.xml, intenția poate să seteze variabile de configurare nedefinite. Astfel pot apărea casete de dialog nedorite în aplicații și modificări ale comportamentului aplicației, printre care se numără și închiderea forțată a aplicației.
- CVE-2014-3502; este valabilă pentru versiunile Apache Cordova anterioare versiunii 3.5.1. Printre vulnerabilități se numără una foarte gravă de scriptare între aplicații (XAS). În anumite circumstanțe, aplicațiile susceptibile ar putea fi exploatate de la distanță pentru a se fura informații sensibile, cum ar fi datele de conectare ale utilizatorilor.
Întrebări privind upgrade-ul și problemele tehnice
Pentru asistență în privința upgrade-ului, consultați site-ul Apache Cordova. Dacă aveți alte întrebări de natură tehnică despre Apache Cordova, postați pe https://www.stackoverflow.com/questions și folosiți etichetele „android-security” și „cordova”.
Notă: deși este posibil ca aceste probleme să nu afecteze toate aplicațiile care folosesc versiuni Apache Cordova anterioare versiunii 4.1.1, este de preferat să actualizați cu toate corecțiile de securitate. Actualizați aplicațiile care au biblioteci dependente neactualizate sau alte vulnerabilități.
Înainte să publicați aplicațiile, asigurați-vă că respectă Acordul de distribuire pentru dezvoltatori și Politica de conținut.
Vă stăm la dispoziție pentru ajutor
Dacă aveți întrebări tehnice cu privire la vulnerabilitate, puteți posta pe Stack Overflow, cu eticheta „android-security”. Pentru clarificarea pașilor necesari pentru remedierea acestei probleme, contactați echipa de asistență pentru dezvoltatori.