Zawarte tu informacje są przeznaczone dla programistów aplikacji, które korzystają z Apache Cordova w wersji starszej niż 4.1.1. Wersje te mają lukę w zabezpieczeniach i naruszają postanowienia naszej Polityki treści dotyczące produktów niebezpiecznych oraz artykułu 4.4 Umowy dystrybucyjnej dla deweloperów.
Jak najszybciej uaktualnij swoje aplikacje do Apache Cordova w wersji 4.1.1 lub nowszej i zwiększ numer wersji uaktualnionego pakietu APK. Jeśli używasz biblioteki zewnętrznej, która obejmuje Apache Cordova, powiadom jej deweloperów i rozwiąż ten problem razem z nimi.
O co chodzi?
Od 11 lipca 2016 roku Google Play blokuje publikowanie nowych aplikacji i aktualizacji korzystających z Apache Cordova w wersji starszej niż 4.1.1. Zapoznaj się z powiadomieniem w Konsoli Play. Po przekroczeniu terminów wskazanych w Konsoli Play wszystkie aplikacje z lukami w zabezpieczeniach mogą zostać usunięte z Google Play.
Wymagane działania
- Zaloguj się w Konsoli Play i przejdź do sekcji Alerty, by sprawdzić, których aplikacji dotyczy problem i jaki jest termin jego rozwiązania.
- Zaktualizuj te aplikacje i usuń lukę w zabezpieczeniach.
- Prześlij zaktualizowane wersje tych aplikacji.
Po ponownym przesłaniu aplikacja zostanie jeszcze raz sprawdzona. Ten proces może potrwać kilka godzin. Jeśli aplikacja pomyślnie przejdzie weryfikację i zostanie opublikowana, nie musisz już nic robić. Jeśli wynik weryfikacji nie będzie pomyślny, nowa wersja aplikacji nie zostanie opublikowana, a Ty otrzymasz powiadomienie e-mailem.
Dodatkowe szczegóły
- CVE-2015-5256 – dotyczy wersji Apache Cordova wcześniejszych niż 4.1.1. Umożliwiają one niewłaściwe stosowanie ograniczeń białych list w Androidzie. Powoduje to powstanie luki w zabezpieczeniach, w wyniku której ograniczenia białych list nie są odpowiednio stosowane. Niewłaściwie utworzone identyfikatory URI mogą pozwalać na obchodzenie białych list, co umożliwia wykonywanie kodów JavaScript spoza nich.
- CVE-2015-1835 – dotyczy wersji Apache Cordova wcześniejszych niż 4.0.2. Umożliwiają one zdalne wykorzystywanie dodatkowych zmiennych konfiguracji Apache Cordova w Androidzie. Zagrożone aplikacje, które nie mają w pliku Config.xml ustawionych konkretnych wartości, mogą mieć ustawiane przez intencję niezdefiniowane zmienne konfiguracji. Może to powodować pojawianie się niechcianych okien dialogowych i zmiany w działaniu aplikacji, w tym także jej wymuszone zamykanie.
- CVE-2014-3502 – dotyczy wersji Apache Cordova wcześniejszych niż 3.5.1. Luki w zabezpieczeniach obejmują szczególnie niebezpieczną lukę XAS (Cross Application Scripting). W pewnych okolicznościach umożliwiają one zdalne wykorzystywanie zagrożonych aplikacji do wykradania poufnych informacji takich jak dane logowania użytkownika.
Uaktualnianie i pytania techniczne
Informacje o przeprowadzaniu uaktualnienia znajdziesz w witrynie Apache Cordova. Jeśli masz inne pytania techniczne dotyczące Apache Cordova, możesz je opublikować na stronie https://www.stackoverflow.com/questions, używając tagów „android-security” i „cordova”.
Uwaga: chociaż opisane problemy nie muszą dotyczyć każdej aplikacji korzystającej z Apache Cordova w wersji wcześniejszej niż 4.1.1, najlepiej jest na bieżąco wprowadzać wszelkie poprawki zabezpieczeń. Warto poświęcić chwilę na zaktualizowanie aplikacji, które korzystają z nieaktualnych bibliotek zależnych lub mają inne luki w zabezpieczeniach.
Przed opublikowaniem swoich aplikacji upewnij się, że są one zgodne z Umową dystrybucyjną dla deweloperów i Polityką treści.
Chętnie Ci pomożemy
Jeśli masz pytania techniczne związane z tą luką w zabezpieczeniach, możesz je opublikować na Stack Overflow, używając tagu „android-security”. Jeśli potrzebujesz wyjaśnienia czynności niezbędnych do rozwiązania tego problemu, skontaktuj się z naszym zespołem pomocy dla deweloperów.