Aquesta informació va dirigida als desenvolupadors d'aplicacions que fan servir qualsevol versió d'Apache Cordova anterior a la 4.1.1. Aquestes versions contenen vulnerabilitats de seguretat i incompleixen la directriu sobre productes perillosos de la política de continguts, així com la secció 4.4 de l'Acord de distribució per a desenvolupadors.
Migra les teves aplicacions a la versió 4.1.1 d'Apache Cordova o a una de posterior al més aviat possible i augmenta el número de versió de l'APK actualitzat. Si utilitzes la biblioteca d'un tercer en què s'inclou Apache Cordova, informa'n el seu equip i col·labora-hi per solucionar-ho.
Què passa
A partir de l'11 de juliol de 2016, Google Play va començar a bloquejar la publicació de les aplicacions o les actualitzacions noves que utilitzessin versions d'Apache Cordova anteriors a la 4.1.1. Consulta l'avís a Play Console. Després de les dates límit que es mostren a Play Console, és possible que les aplicacions que presentin vulnerabilitats de seguretat sense solucionar se suprimeixin de Google Play.
Acció necessària
- Inicia la sessió a Play Console i navega per la secció Alertes per consultar quines aplicacions es veuen afectades i les dates límit per resoldre aquests problemes.
- Actualitza les aplicacions afectades i soluciona la vulnerabilitat.
- Envia les versions actualitzades de les aplicacions afectades.
Un cop hagis l'hagis tornat a enviar, tornarem a revisar la teva aplicació. Aquest procés pot tardar diverses hores. Si l'aplicació passa la revisió i es publica correctament, no cal dur a terme cap altra acció. Si l'aplicació no passa la revisió, no se'n publicarà la versió nova i rebràs una notificació per correu electrònic.
Detalls addicionals
- CVE-2015-5256: es troba a les versions d'Apache Cordova anteriors a la 4.1.1 que són vulnerables a l'aplicació inadequada de les restriccions a les llistes blanques d'Android. Això genera una vulnerabilitat, i les restriccions no s'apliquen correctament en aquestes llistes. Els URI que no tenen un format correcte es podrien utilitzar per esquivar les restriccions de la llista blanca i, per tant, es permetria l'execució de codi JavaScript que no hi consti.
- CVE-2015-1835: es troba a les versions d'Apache Cordova anteriors a la 4.0.2 que són vulnerables a l'ús remot de variables de configuració secundària d'Apache Cordova a Android. Pot ser que el mecanisme intent estableixi variables de configuració indefinides en les aplicacions afectades que no tinguin cap valor específic a Config.xml. Per això, és possible que es mostrin quadres de diàleg no desitjats a les aplicacions i que es produeixin canvis en el comportament de l'aplicació que, fins i tot, poden suposar que l'aplicació es tanqui per força.
- CVE-2014-3502: es troba a les versions d'Apache Cordova anteriors a la 3.5.1. S'hi inclou una vulnerabilitat molt important en la creació de scripts entre aplicacions (XAS). En algunes circumstàncies, les aplicacions susceptibles podrien utilitzar-se de manera remota per robar informació confidencial, com ara les credencials d'inici de sessió dels usuaris.
Actualització i dubtes tècnics
Si necessites ajuda amb l'actualització, consulta el lloc web d'Apache Cordova. Per resoldre altres dubtes tècnics sobre Apache Cordova, publica les teves preguntes a https://www.stackoverflow.com/questions amb les etiquetes "android-security" i "cordova".
Nota: tot i que és possible que aquests problemes no afectin totes les aplicacions que utilitzen les versions d'Apache Cordova anteriors a la 4.1.1, és millor tenir tots els pedaços de seguretat actualitzats. Aprofita aquesta oportunitat per actualitzar les aplicacions que tinguin biblioteques dependents obsoletes o altres vulnerabilitats.
Abans de publicar cap aplicació, assegura't que compleixi l'Acord de distribució per a desenvolupadors i la política de continguts.
Som aquí per ajudar-te
Si tens cap dubte tècnic sobre la vulnerabilitat, pots publicar les teves preguntes a Stack Overflow amb l'etiqueta "android-security". Per aclarir els passos que has de seguir per resoldre aquest problema, pots contactar amb el nostre equip d'assistència per a desenvolupadors.