Apache Cordova 취약점이 있는 앱 수정 방법

Apache Cordova 4.1.1 이전 버전을 사용하는 앱의 개발자를 위해 작성된 내용입니다. 이러한 버전은 보안 취약점을 포함하며 콘텐츠 정책의 위험한 제품 조항 및 개발자 배포 계약의 4.4항을 위반합니다.  

가능한 한 빨리 Apache Cordova v.4.1.1 이상으로 앱을 이전하고 업그레이드된 APK의 버전 번호를 올리시기 바랍니다. Apache Cordova가 포함된 타사 라이브러리를 사용 중이라면 타사에 이 사실을 알리고 함께 문제를 해결하세요.

현재 상태

2016년 7월 11일부터 Google Play에서는 Apache Cordova 4.1.1 이전 버전을 사용하는 신규 앱과 업데이트의 게시를 차단했습니다. Play Console 공지사항을 참조하세요. Play Console에 표시된 기한이 지난 후에도 보안 취약점 문제가 해결되지 않은 앱은 Google Play에서 모두 삭제될 수 있습니다.

필요한 조치​

  1. Play Console에 로그인한 후 알림 섹션으로 이동하여 영향을 받는 앱과 문제 해결 기한을 확인합니다.
  2. 영향을 받는 앱을 업데이트하여 취약점을 수정합니다.
  3. 영향을 받는 앱의 업데이트된 버전을 제출합니다.

다시 제출하면 앱은 다시 검토 절차를 거치게 되며 이 절차는 몇 시간 정도 걸릴 수 있습니다. 앱이 검토 과정을 통과하고 게시가 완료되면 더 이상의 조치가 필요하지 않습니다. 앱이 검토 과정을 통과하지 못할 경우 새로운 앱 버전은 게시되지 않으며 이메일 알림을 받게 됩니다.

추가 세부정보

  • CVE-2015-5256은 Apache Cordova 4.1.1 이전 버전에 적용됩니다. 이들 버전은 Android 허용 목록 제한의 부적절한 적용에 취약합니다. 따라서 허용 목록 제한이 제대로 적용되지 않는 취약점이 발생합니다. 부적절하게 만들어진 URI는 허용 목록을 우회하는 데 이용되어 허용 목록에 없는 자바스크립트가 실행될 수 있습니다. 
  • CVE-2015-1835는 Apache Cordova 4.0.2 이전 버전에 적용됩니다. 이들 버전은 Android에서 Apache Cordova 보조 설정 변수의 원격 사용에 취약합니다. Config.xml에 명시적인 값이 설정되지 않은 앱은 정의되지 않은 설정 변수가 인텐트에 의해 설정될 수 있습니다. 결과적으로 애플리케이션에 원치 않는 대화상자 표시 또는 앱 강제 종료와 같이 애플리케이션 동작이 변경될 수 있습니다. 
  • CVE-2014-3502는 Apache Cordova 3.5.1 이전 버전에 적용됩니다. 취약점에는 심각도가 높은 교차 애플리케이션 스크립팅(XAS) 취약점이 포함됩니다. 보안이 취약한 앱은 특정 상황에서 원격으로 악용되어 사용자 로그인 인증 정보와 같은 민감한 정보를 도용할 수 있습니다. 

업그레이드 및 기술적 문의사항
업그레이드하는 데 도움이 필요하면 Apache Cordova 웹사이트를 참조하시기 바랍니다. Apache Cordova에 대해 다른 기술 관련 질문이 있으면 https://www.stackoverflow.com/questions에 '“android-security' 및 'cordova' 태그를 추가하여 게시하세요.

참고: 이러한 문제가 Apache Cordova 4.1.1 이전 버전을 사용하는 모든 앱에 영향을 주는 것은 아니지만, 모든 보안 패치를 최신 상태로 유지하는 것이 가장 좋습니다. 이번 기회에 오래된 버전의 종속 라이브러리나 다른 취약점이 있는 앱을 업데이트하시기 바랍니다.

앱을 게시하기 전에 개발자 배포 계약콘텐츠 정책을 준수하는지 검토하시기 바랍니다. 

도움이 필요하신가요?

취약점에 관한 기술적인 문의사항이 있다면 'android-security' 태그를 사용하여 Stack Overflow에 게시해 주시기 바랍니다. 문제 해결 절차에 관해 궁금하신 점이 있으면 Google 개발자 지원팀에 문의하세요.

도움이 되었나요?
어떻게 하면 개선할 수 있을까요?