Odstraňování chyb zabezpečení u aplikací s platformou Apache Cordova

Tyto informace jsou určeny vývojářům aplikací, kteří používají jakoukoli verzi platformy Apache Cordova starší než 4.1.1. Tyto verze obsahují chyby zabezpečení, a jsou proto v rozporu s ustanovením o nebezpečných produktech v obsahových zásadách a s odstavcem 4.4 distribuční smlouvy pro vývojáře.  

Co nejdříve aplikace migrujte na platformu Apache Cordova verze 4.1.1 nebo novější a zvyšte číslo verze upgradovaného souboru APK. Pokud používáte knihovnu třetí strany, která zahrnuje platformu Apache Cordova, informujte o tomto problému příslušnou třetí stranu a společně jej vyřešte.

K čemu dochází

Od 11. července 2016 služba Google Play blokuje publikování nových aplikací a aktualizací, které používají verze platformy Apache Cordova starší než 4.1.1. Další informace najdete v oznámení ve službě Play Console. Po termínech uvedených v Play Console mohou být aplikace s neopravenými chybami zabezpečení z Google Play odstraněny.

Vyžadovaná akce

  1. Přihlaste se do Play Console a přejděte do sekce Upozornění, kde zjistíte, kterých aplikací se tento problém týká a do kdy je potřeba jej vyřešit.
  2. Aktualizujte dotčené aplikace a chybu zabezpečení opravte.
  3. Odešlete aktualizované verze dotčených aplikací.

Po odeslání bude aplikace znovu zkontrolována. Tento proces může trvat několik hodin. Pokud aplikace při kontrole projde a bude úspěšně publikována, není potřeba podnikat žádné další kroky. Jestliže aplikace při kontrole neprojde, nová verze aplikace nebude publikována a obdržíte e‑mailem oznámení.

Další podrobnosti

  • CVE-2015-5256: Platí pro platformu Apache Cordova verze starší než 4.1.1. Tyto verze jsou zranitelné vůči nesprávnému použití seznamu restrikcí v Androidu. To může mít za následek bezpečnostní chybu v podobě nesprávného použití restrikcí. Nesprávně vytvořené adresy URL by mohly být využity k obcházení seznamu restrikcí a umožnit tak spuštění nepovoleného JavaScriptu. 
  • CVE-2015-1835: Platí pro platformu Apache Cordova verze starší než 4.0.2. Tyto verze jsou zranitelné vůči vzdálenému zneužití sekundárních proměnných v konfiguraci platformy Apache Cordova v Androidu. Dotyčné aplikace, které neobsahují žádné explicitní hodnoty v souboru Config.xml, mohou mít nedefinované proměnné v konfiguraci nastavené objektem Intent. To může mít za následek zobrazování nechtěných dialogových oken v aplikacích a změny v chování aplikací (včetně vynuceného ukončování). 
  • CVE-2014-3502: Platí pro platformu Apache Cordova verze starší než 3.5.1. Chyby zabezpečení mohou zahrnovat velmi závažnou chybu týkající se skriptování mezi aplikacemi (XAS). Za určitých okolností by prostřednictvím náchylných aplikací mohlo dojít ke krádeži citlivých informací, například přihlašovacích údajů. 

Upgradování a technické otázky
Nápovědu k upgradování naleznete na webu Apache Cordova. Máte-li jiné technické otázky ohledně platformy Apache Cordova, publikuje příspěvek na adrese https://www.stackoverflow.com/questions. Použijte štítky „android-security“ a „Cordova“.

Poznámka: Ačkoli tyto problémy nemusejí mít dopad na každou aplikaci, která používá platformu Apache Cordova verze starší než 4.1.1, doporučujeme instalovat všechny opravy zabezpečení. Aplikace, které používají zastaralé knihovny nebo mají jiné chyby zabezpečení, prosím během této doby aktualizujte.

Před publikováním aplikací se ujistěte, zda jsou v souladu s distribuční smlouvou pro vývojářeobsahovými zásadami

Rádi vám poradíme

Máte-li ohledně této zranitelnosti technické dotazy, publikuje příspěvek na webu Stack Overflow. Použijte štítek „android-security“. Pokud potřebujete poradit s jednotlivými kroky k řešení tohoto problému, obraťte se na náš tým podpory pro vývojáře.