Informasi ini ditujukan untuk pengembang aplikasi yang menggunakan versi Apache Cordova di bawah versi 4.1.1. Versi ini memuat kerentanan keamanan dan melanggar ketentuan Produk berbahaya dalam Kebijakan Konten, dan pasal 4.4 Perjanjian Distribusi Developer.
Migrasikan aplikasi Anda ke Apache Cordova v.4.1.1 atau versi lebih tinggi sesegera mungkin dan naikkan nomor versi APK yang diupgrade. Jika Anda menggunakan library pihak ke-3 yang menyertakan Apache Cordova, beri tahu pihak ke-3 tersebut dan bekerja samalah dengan mereka untuk mengatasi masalah tersebut.
Yang terjadi
Mulai 11 Juli 2016, Google Play memblokir publikasi aplikasi baru atau update apa pun yang menggunakan Apache Cordova versi sebelum 4.1.1. Lihat pemberitahuan di Play Console. Setelah batas waktu yang ditampilkan di Play Console, aplikasi apa pun yang memiliki kerentanan keamanan yang tidak diperbaiki akan dihapus dari Google Play.
Tindakan yang diperlukan
- Login ke Play Console, lalu buka bagian Notifikasi untuk melihat aplikasi mana yang terpengaruh dan batas waktu untuk menyelesaikan masalah ini.
- Update aplikasi yang terpengaruh dan perbaiki kerentanannya.
- Kirimkan versi terupdate aplikasi Anda yang terpengaruh.
Setelah pengiriman ulang, aplikasi Anda akan ditinjau kembali. Proses ini dapat memerlukan waktu beberapa jam. Jika aplikasi lolos proses peninjauan dan dipublikasikan, Anda tidak perlu melakukan tindakan lebih lanjut. Jika aplikasi gagal dalam proses peninjauan, versi aplikasi baru tidak akan dipublikasikan dan Anda akan menerima email notifikasi.
Detail tambahan
- CVE-2015-5256; berlaku untuk Apache Cordova sebelum versi 4.1.1. Versi ini rentan terhadap penerapan batasan daftar putih yang tidak tepat pada Android. Ini mengakibatkan kerentanan karena batasan daftar putih tidak diterapkan dengan benar. URI yang dibuat dengan tidak tepat dapat digunakan untuk mengakali daftar yang diizinkan, sehingga memungkinkan eksekusi JavaScript yang tidak ada di daftar yang diizinkan.
- CVE-2015-1835; berlaku untuk Apache Cordova sebelum versi 4.0.2. Versi ini rentan terhadap eksploitasi variabel konfigurasi sekunder dari jarak jauh di Apache Cordova pada Android. Aplikasi terpengaruh tanpa nilai eksplisit yang disetel di Config.xml dapat memiliki variabel konfigrasi yang tidak ditentukan dan disetel menurut Maksud. Ini dapat menyebabkan dialog yang tidak diinginkan muncul di aplikasi dan perubahan perilaku aplikasi yang dapat mencakup penutupan paksa aplikasi.
- CVE-2014-3502; berlaku untuk Apache Cordova di bawah versi 3.5.1. Ini mencakup kerentanan skrip antar-aplikasi (XAS) dengan tingkat keparahan tinggi. Dalam keadaan tertentu, aplikasi yang rentan dapat dieksploitasi dari jarak jauh untuk mencuri informasi sensitif, misalnya kredensial login pengguna.
Upgrade dan pertanyaan teknis
Untuk bantuan dalam meningkatkan versi aplikasi, lihat situs web Apache Cordova. Untuk pertanyaan teknis lainnya tentang Apache Cordova, Anda dapat mempostingnya di https://www.stackoverflow.com/questions serta gunakan tag “android-security” dan “cordova”.
Catatan: meskipun masalah ini mungkin tidak memengaruhi setiap aplikasi yang menggunakan Apache Cordova sebelum versi 4.1.1, sebaiknya selalu update semua patch keamanan. Luangkan waktu untuk memperbarui aplikasi yang pustaka bergantungnya sudah usang atau kerentanan lainnya.
Sebelum memublikasikan aplikasi, pastikan aplikasi telah mematuhi Perjanjian Distribusi Developer dan Kebijakan Konten.
Kami siap membantu
Jika ada pertanyaan teknis tentang kerentanan, Anda dapat mengirim postingan ke Stack Overflow dan menggunakan tag “android-security”. Untuk penjelasan tentang langkah-langkah yang diperlukan untuk mengatasi masalah ini, Anda dapat menghubungi tim dukungan developer kami.