Apache Cordova の脆弱性を含むアプリを修正する方法

この情報は Apache Cordova の 4.1.1 より前のバージョンを利用しているアプリのデベロッパーを対象としています。4.1.1 より前のバージョンには、ユーザーデータを危機にさらすセキュリティ上の脆弱性が含まれています。

早急にアプリを Apache Cordova v.4.1.1 以降に移行し、アップグレードした APK のバージョン番号を更新してください。Apache Cordova を含むサードパーティ ライブラリを使用している場合は、この問題の解決について該当のサードパーティにサポートを依頼してください。

状況

2016 年 7 月 11 日以降、Google Play では、バージョン 4.1.1 より前の Apache Cordova を使用するすべての新規アプリおよびアップデートの公開が禁止されています。詳しくは Play Console の通知をご覧ください。Play Console に表示されている期限を過ぎた後もセキュリティの脆弱性が修正されていないアプリは、Google Play から削除される場合があります。

必要な対応

  1. Play Console にログインし、[アラート] セクションで該当するアプリや問題の解決期限を確認します。
  2. 該当のアプリを更新し、脆弱性を修正します。
  3. 該当するアプリの更新バージョンを送信します。

再送信すると、アプリは再度審査されます。審査には数時間ほどかかることがあります。アプリが審査に合格して正常に公開された場合は、これ以上の対応は不要です。アプリが審査に不合格となった場合、アプリの更新バージョンは公開されず、メールで通知が届きます。

その他の詳細

  • CVE-2015-5256: バージョン 4.1.1 より前の Apache Cordova が対象です。これらのバージョンは、Android でホワイトリストによる制限が不正に適用されやすくなっています。この結果、ホワイトリスト制限が正しく適用されないという脆弱性が生じます。不適切に作成された URI を利用してホワイトリストが回避されることにより、ホワイトリストに登録されていない JavaScript の実行が可能になる恐れがあります。
  • CVE-2015-1835: バージョン 4.0.2 より前の Apache Cordova が対象です。これらのバージョンは、Android で Apache Cordova の二次設定変数がリモートで悪用されやすくなっています。問題となるアプリでは、Config.xml に明確な値が設定されておらず、未定義の設定変数がインテントで設定される可能性があります。この結果、不要なダイアログがアプリに表示されたり、アプリの動作に変化(アプリの強制終了など)が生じたりすることになりかねません
  • CVE-2014-3502: バージョン 3.5.1 より前の Apache Cordova が対象です。脆弱性には、重大度の高いクロスアプリケーション スクリプティング(XAS)の脆弱性が含まれます。状況によっては、脆弱性のあるアプリはリモートで悪用され、ユーザーのログイン認証情報などの機密情報を盗まれる恐れがあります。

アップグレードや技術的なことに関してご不明な点がある場合
アップグレードについて詳しくは、Apache Cordova のウェブサイトをご覧ください。Apache Cordova に関するその他の技術的な質問については、https://www.stackoverflow.com/questions に、「android-security」および「cordova」というタグを使用してご投稿ください。

注: こうした問題は、バージョン 4.1.1 より前の Apache Cordova を使用するすべてのアプリに影響するとは限りませんが、あらゆるセキュリティ パッチを常に最新の状態にしておくことをおすすめします。この機会に、古い従属ライブラリやその他の脆弱性を含むアプリを更新してください。

アプリを公開する前に、そのアプリがデベロッパー販売 / 配布契約コンテンツ ポリシーに準拠していることをご確認ください。

サポートのご案内

脆弱性に関する技術的なご質問については、Stack Overflow にご投稿ください。その際、「android-security」タグをご利用ください。この問題を解決するための手順で不明な点がありましたら、デベロッパー サポートチームにお問い合わせください。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。