Az Apache Cordova biztonsági réseit tartalmazó alkalmazások javítása

Ez az információ az olyan alkalmazások fejlesztőinek szól, amelyek az Apache Cordova 4.1.1-es előtti verzióját használják. Ezek a verziók biztonsági réseket tartalmaznak, és sértik a tartalmi irányelvek veszélyes termékekre vonatkozó előírásait, valamint a Fejlesztői terjesztési megállapodás 4.4. szakaszában előírtakat.  

Kérjük, a lehető leghamarabb frissítsd alkalmazásaidat az Apache Cordova 4.1.1-es vagy újabb verziójára, és növeld a frissített APK-k verziószámát. Ha olyan, harmadik féltől származó függvénytárat használsz, amely tartalmazza az Apache Cordovát, értesítsd a harmadik felet, és vele közösen oldd meg a problémát.

Mi történik?

2016. július 11-től kezdve a Google Play minden olyan új alkalmazás és frissítés közzétételét letiltja, amely az Apache Cordova 4.1.1 előtti verzióinak valamelyikét használja. A Play Console felületén lévő értesítésben további információt találhatsz. A Play Console felületén látható határidők után eltávolítjuk a Google Playről azokat az alkalmazásokat, amelyekben még megtalálható a sebezhetőség.

Teendők​

  1. Jelentkezz be a Play Console felületén, majd tekintsd át az Értesítések oldalon az érintett alkalmazásokat és a problémák megoldásának határidőit.
  2. Készíts olyan frissítést az érintett alkalmazásokhoz, amely elhárítja a sebezhetőséget.
  3. Küldd be az érintett alkalmazások frissített verzióit.

A beküldés után alkalmazásodat ismét ellenőrizzük. A folyamat több órát is igénybe vehet. Ha az alkalmazás megfelel az ellenőrzésen, és ezt követően közzétesszük, nincs más teendőd. Ha az alkalmazás nem felel meg az ellenőrzésen, akkor nem tesszük közzé az új verziót, és e-mailben értesítést küldünk a fejleményről.

Részletek

  • CVE-2015-5256; az Apache Cordova 4.1.1-esnél korábbi verzióira vonatkozik. E verziók az engedélyezőlista korlátozásainak helytelen alkalmazása miatt sebezhetőek Android alatt. Ez biztonsági rést eredményez akkor, ha az engedélyezőlista korlátozásait nem alkalmazzák megfelelően. A helytelenül összeállított URI-k felhasználhatók az engedélyezőlista megkerülésére, így az engedélyezőlistán nem szereplő JavaScript végrehajthatóvá válik. 
  • CVE-2015-1835; az Apache Cordova 4.0.2-esnél korábbi verzióira vonatkozik. E verziók a másodlagos konfigurációs változók távoli kihasználhatósága miatt sebezhetőek Android alatt. Azon érintett alkalmazások, amelyeknél nincsenek konkrét értékek beállítva a Config.xml fájlban, meghatározatlan konfigurációs változókkal rendelkezhetnek, amelyeket az Intent állít be. Ennek eredményeként kéretlen párbeszédpanelek jelenhetnek meg az alkalmazásokban, valamint megváltozhat az alkalmazás viselkedése, ami akár az alkalmazás kényszerített leállításához is vezethet. 
  • CVE-2014-3502; az Apache Cordova 3.5.1-esnél korábbi verzióira vonatkozik. Az egyik biztonsági rés nagyon súlyos alkalmazáson belüli szkriptelési (cross-application scripting, XAS) sebezhetőség. Bizonyos körülmények között az érintett alkalmazásokat távolról kihasználva bizalmas adatokat, például felhasználói bejelentkezési adatokat lehetett ellopni. 

Verziófrissítés és technikai kérdések
A verziófrissítéssel kapcsolatban az Apache Cordova webhelyén találsz további tájékoztatást. Ha egyéb technikai jellegű kérdéseid vannak az Apache Cordovával kapcsolatban, az „android-security” és „cordova” címkék használatával a https://www.stackoverflow.com/questions webhelyen teheted fel őket.

Bár ezek a problémák nem feltétlenül vonatkoznak minden olyan alkalmazásra, amely az Apache Cordova 4.1.1-esnél régebbi verzióinak valamelyikét használja, érdemes naprakésznek lenni a biztonsági javítások tekintetében. Kérjük, szánj időt azon alkalmazások frissítésére, amelyek elavult függő könyvtárakkal vagy más biztonsági résekkel rendelkeznek.

Alkalmazások közzététele előtt bizonyosodj meg arról, hogy a közzétenni kívánt alkalmazás megfelel a Fejlesztői terjesztési megállapodásnak és a tartalmi irányelveknek

Örömmel segítünk

A sebezhetőségre vonatkozó technikai kérdéseidet felteheted a Stack Overflow webhelyén, az „android-security” címkével ellátva. Ha a probléma megoldásának lépéseire vonatkozóan szeretnél tisztázni valamit, vedd fel a kapcsolatot fejlesztőtámogatási csapatunkkal.