Esta información está destinada a los desarrolladores de aplicaciones que utilizan cualquier versión de Apache Cordova anterior a la versión 4.1.1. Estas versiones contienen vulnerabilidades de seguridad e infringen la disposición sobre productos peligrosos de la política de contenido y la sección 4.4 del Acuerdo de Distribución para Desarrolladores.
Migra tus aplicaciones a la versión 4.1.1 de Apache Cordova o a versiones posteriores lo antes posible y aumenta el número de versión del archivo APK actualizado. Si utilizas una biblioteca externa que incluya Apache Cordova, ponte en contacto con el fabricante en cuestión para solucionar el problema.
¿Qué está pasando?
El 11 de julio del 2016, Google Play empezó a bloquear la publicación de aplicaciones y actualizaciones que usaban versiones de Apache Cordova anteriores a la 4.1.1. Consulta el aviso en Play Console.Una vez que finalice el plazo indicado en Play Console, es posible que las aplicaciones que contengan vulnerabilidades de seguridad sin corregir se retiren de Google Play.
Acción necesaria
- Inicia sesión en Play Console y ve a la sección Alertas para consultar qué aplicaciones están afectadas y las fechas límite para resolver estos problemas.
- Actualiza las aplicaciones afectadas y corrige la vulnerabilidad.
- Envía las versiones actualizadas de las aplicaciones afectadas.
Cuando vuelvas a enviar tus aplicaciones, se revisarán de nuevo. Este proceso puede tardar varias horas en completarse. Si una aplicación supera el proceso de revisión y se publica, no tendrás que hacer nada más. De lo contrario, la nueva versión de la aplicación no se publicará y recibirás una notificación por correo electrónico.
Información adicional
- CVE-2015-5256: se aplica a las versiones anteriores a la versión 4.1.1 de Apache Cordova. Estas versiones son vulnerables a que las restricciones de la lista blanca en Android se apliquen de forma incorrecta. De este modo, las restricciones de la lista blanca no se aplican correctamente en la vulnerabilidad. Los URI que no se hayan creado correctamente pueden utilizarse para eludir la lista blanca, lo que permitiría la ejecución de JavaScript que no esté incluido en esta lista.
- CVE-2015-1835: se aplica a las versiones anteriores a la versión 4.0.2 de Apache Cordova. Estas versiones son vulnerables a que las variables de configuración secundarias de Apache Cordova en Android se utilicen de forma remota. Las aplicaciones afectadas que no tengan valores explícitos establecidos en Config.xml pueden tener variables de configuración sin definir que haya establecido Intent. Esto puede provocar que aparezcan cuadros de diálogo no deseados en las aplicaciones y que se produzcan cambios en su comportamiento, que podrían incluso forzar su cierre.
- CVE-2014-3502: se aplica a las versiones anteriores a la versión 3.5.1 de Apache Cordova. Entre las vulnerabilidades se encuentra una de gran gravedad relacionada con ataques mediante secuencias de comandos entre aplicaciones (Cross-Application Scripting, XAS). En determinadas circunstancias, se pueden utilizar las aplicaciones vulnerables de forma remota para robar información confidencial (por ejemplo, las credenciales de inicio de sesión del usuario).
Preguntas técnicas y sobre actualizaciones
Si necesitas ayuda para actualizar la versión, consulta el sitio web de Apache Cordova. Si tienes alguna otra pregunta técnica sobre Apache Cordova, puedes publicarla en la página https://www.stackoverflow.com/questions y utilizar las etiquetas "android-security" y "cordova".
Nota: Aunque es posible que estos problemas no afecten a todas las aplicaciones que utilicen las versiones anteriores a la versión 4.1.1. de Apache Cordova, te recomendamos que mantengas todos los parches de seguridad actualizados. Aprovecha la ocasión para actualizar las aplicaciones que tengan bibliotecas dependientes no actualizadas u otras vulnerabilidades.
Antes de publicar aplicaciones, comprueba que cumplan el Acuerdo de Distribución para Desarrolladores y la política de contenido.
Queremos ayudarte
Si tienes alguna pregunta técnica sobre esta vulnerabilidad, puedes publicarla en Stack Overflow con la etiqueta "android-security". Ponte en contacto con nuestro equipo de asistencia para desarrolladores si necesitas más información para resolver este problema.