Den här informationen riktar sig till utvecklare vars appar använder en version av Apache Cordova som är äldre än 4.1.1. Det finns säkerhetsbrister i dessa äldre versioner och de strider därför mot förbudet mot skadliga produkter i innehållspolicyn och mot avsnitt 4.4 i distributionsavtalet för utvecklare.
Uppgradera berörda appar så att de använder version 4.1.1 eller senare av Apache Cordova så snart som möjligt och öka den uppgraderade APK-filens versionsnummer. Om du använder en tredje parts bibliotek där Apache Cordova ingår kontaktar du dem och arbetar fram en lösning tillsammans med dem.
Detta händer
Sedan den 11 juli 2016 har publiceringen av nya appar eller uppdateringar som använder äldre versioner än 4.1.1 av Apache Cordova blockerats. Läs mer i meddelandet i Play Console. Alla appar där säkerhetsbristen inte har åtgärdats tas bort från Google Play efter det datum som anges i Play Console.
Åtgärd som krävs
- Logga in på Play Console och öppna avsnittet Varningar. Där ser du vilka appar som berörs av problemet och vilket datum det måste vara åtgärdat.
- Uppdatera de berörda apparna och åtgärda säkerhetsbristen.
- Skicka in uppdaterade versioner av de berörda apparna.
När du skickar in den nya appversionen granskas den på nytt. Granskningen kan ta flera timmar. Om appen blir godkänd vid granskningen och publiceras utan problem behöver du inte göra något mer. Om appen inte blir godkänd vid granskningen kommer den nya appversionen inte att publiceras och du meddelas via e-post.
Ytterligare information
- CVE-2015-5256: gäller äldre versioner av Apache Cordova än 4.1.1. De här versionerna är sårbara för felaktigt tillämpade begränsningar med vitlistor på Android. Säkerhetsrisken uppstår om begränsningarna i en vitlista inte har tillämpats korrekt. Felaktigt utformade URI:er kan användas för att kringgå vitlistan och köra JavaScript-kod utanför vitlistan.
- CVE-2015-1835: gäller äldre versioner av Apache Cordova än 4.0.2. De här versionerna är sårbara för fjärrattacker mot sekundära konfigurationsvariabler i Apache Cordova på Android. I de appar som påverkas kan odefinierade konfigurationsvariabler anges med Intent om inga värden har angetts explicit i Config.xml. Det kan leda till att oönskade dialogrutor visas i appar och att apparnas funktion påverkas, bland annat så att de kan tvångsavslutas.
- CVE-2014-3502: gäller äldre versioner av Apache Cordova än 3.5.1. Bland annat är de mycket sårbara för appkodinjektion (XAS). Under vissa omständigheter kan bedragare utnyttja sårbara appar för att komma åt känsliga uppgifter, till exempel en användares inloggningsuppgifter.
Uppgraderingar och tekniska frågor
Besök Apache Cordovas webbplats om du behöver hjälp med uppgraderingen. Om du har andra tekniska frågor kan du skriva ett inlägg på https://www.stackoverflow.com/questions. Använd taggarna android-security och cordova.
Obs! Även om problemet inte påverkar alla appar som använder äldre versioner av Apache Cordova än 4.1.1 är det alltid bäst att se till att säkerhetskorrigeringar införs. Ta tillfället i akt att uppdatera appar som har beroenden i form av inaktuella bibliotek eller andra sårbarheter.
Kontrollera alltid att dina appar följer distributionsavtalet för utvecklare och innehållspolicyn innan du publicerar dem.
Vi hjälper dig gärna
Om du har tekniska frågor som handlar om säkerhetsbristen kan du ställa dem på Stack Overflow. Använd taggen android-security. Om du behöver mer information om hur du åtgärdar problemet kontaktar du vårt supportteam för utvecklare.