Cómo reparar apps con vulnerabilidades de Apache Cordova

Esta información está dirigida a los programadores de apps que usen cualquier versión de Apache Cordova anterior a la versión 4.1.1. Dichas versiones contienen vulnerabilidades de seguridad e incumplen con la cláusula de Productos peligrosos de la Política de contenido y el artículo 4.4 del Acuerdo de distribución para programadores.  

Migra tus apps a la versión 4.1.1 de Apache Cordova (o versiones posteriores) lo antes posible y aumenta el número de versión del APK actualizado. Si usas la biblioteca de un tercero que incluye Apache Cordova, notifícalo y trabajen en conjunto para solucionar el problema.

Vulnerabilidades y plazos para soluciones

  • CVE-2015-5256: Se aplica a las versiones anteriores a Apache Cordova 4.1.1. Estas versiones son vulnerables a la aplicación incorrecta de las restricciones de lista blanca de Android. El resultado es una vulnerabilidad en la que no se aplican correctamente las restricciones de lista blanca. Los URI que no se creen correctamente pueden usarse para evadir la lista blanca, ya que permiten la ejecución de JavaScript que no está en la lista blanca. A partir del 11 de julio de 2016, Google Play bloqueará la publicación de las actualizaciones y apps nuevas que usen versiones anteriores a Apache Cordova 4.1.1. 
  • CVE-2015-1835: Se aplica a versiones anteriores a Apache Cordova 4.0.2. Estas versiones son vulnerables a la explotación remota de variables de configuración secundaria de Apache Cordova en Android. Las apps afectadas que no tienen valores explícitos en Config.xml pueden tener variables de configuración sin definir de Intent. Es posible que esta configuración provoque la aparición de cuadros de diálogo no deseados en las aplicaciones y cambios en su funcionamiento, como cierres forzados. A partir del 11 de julio de 2016, Google Play bloqueará la publicación de las actualizaciones y apps nuevas que usen versiones anteriores a Apache Cordova 4.1.1.
  • CVE-2014-3502: Se aplica a versiones anteriores a Apache Cordova 3.5.1. Entre otros problemas de seguridad se incluyen vulnerabilidades de alta gravedad de secuencias de comandos entre aplicaciones (XAS). En determinadas circunstancias, las apps susceptibles podrían explotarse de manera remota para robar información confidencial, como credenciales de acceso de los usuarios. El plazo para solucionar esta vulnerabilidad finalizó. Google Play bloqueará la publicación de apps y actualizaciones nuevas que contengan esta vulnerabilidad.

Preguntas técnicas y sobre actualizaciones
Para obtener ayuda con las actualizaciones, consulta el sitio web de Apache Cordova. Si tienes otras preguntas técnicas sobre Apache Cordova, publícalas en https://www.stackoverflow.com/questions con las etiquetas “android-security” y “cordova”.

Para confirmar que realizaste la actualización correctamente, envía la versión actualizada a la Consola para programadores y regresa después de cinco horas. Si la app no se actualizó correctamente, mostraremos una alerta.   

Nota: Si bien es posible que los problemas no afecten a todas las apps que usan versiones anteriores a Apache Cordova 4.1.1, te recomendamos mantenerte actualizado sobre todos los parches de seguridad. Actualiza las apps que tienen bibliotecas dependientes desactualizadas y otras vulnerabilidades.

Antes de publicar apps, asegúrate de que cumplan con el Acuerdo de distribución para programadores y la Política de contenido. Si consideras que te enviamos una advertencia de la vulnerabilidad de Apache Cordova por error, comunícate con el equipo de asistencia por medio del Centro de ayuda para programadores de Google Play.