Estas informações destinam-se aos programadores de aplicações que utilizam qualquer versão do Apache Cordova anterior à versão 4.1.1. Estas versões incluem vulnerabilidades de segurança e violam a disposição sobre Produtos perigosos da Política de Conteúdos e a secção 4.4 do Contrato de Distribuição para Programadores.
Migre as suas aplicações para a versão 4.1.1 ou superior do Apache Cordova assim que possível e aumente o número de versão do APK atualizado. Se estiver a utilizar uma biblioteca de terceiros que inclua o Apache Cordova, notifique os terceiros e trabalhe com eles para resolver o problema.
O que está a acontecer
A partir de 11 de julho de 2016, o Google Play começou a bloquear a publicação de quaisquer novas aplicações ou atualizações que utilizem versões do Apache Cordova anteriores à 4.1.1. Consulte o aviso na Play Console. Após os prazos apresentados na Play Console, as aplicações que contenham vulnerabilidades de segurança não corrigidas poderão ser removidas do Google Play.
Ação necessária
- Inicie sessão na Play Console e navegue até à secção Alertas para ver quais as aplicações afetadas e os prazos para resolver estes problemas.
- Atualize as aplicações afetadas e corrija a vulnerabilidade.
- Envie as versões atualizadas das aplicações afetadas.
Depois de voltar a enviar, a sua aplicação será revista novamente. Este processo pode demorar várias horas. Se a aplicação obtiver a aprovação na revisão e for publicada com êxito, não será necessária qualquer ação adicional. Se a aplicação falhar na revisão, a nova versão da aplicação não será publicada e receberá uma notificação por email.
Detalhes adicionais
- CVE-2015-5256; aplica-se a versões do Apache Cordova anteriores à 4.1.1. Estas versões são vulneráveis à aplicação inadequada de restrições da lista de autorizações no Android. Tal resulta numa vulnerabilidade em que as restrições da lista de autorizações não são devidamente aplicadas. Podem ser utilizados URIs incorretamente formados para contornar a lista de autorizações e permitir a execução de JavaScript não incluído na lista de autorizações.
- CVE-2015-1835; aplica-se a versões do Apache Cordova anteriores à 4.0.2. Estas versões são vulneráveis à exploração remota de variáveis de configuração secundárias no Apache Cordova no Android. Nas aplicações afetadas que não tiverem valores explícitos definidos em Config.xml, é possível definir variáveis de configuração não definidas por Intenção. Isto pode provocar a apresentação de diálogos indesejados nas aplicações, bem como alterações ao comportamento das aplicações que podem incluir o encerramento forçado das mesmas.
- CVE-2014-3502; aplica-se a versões do Apache Cordova anteriores à 3.5.1. As vulnerabilidades incluem uma vulnerabilidade de scripts na aplicação (XAS) de elevada gravidade. Em determinadas circunstâncias, as aplicações vulneráveis podem ser exploradas remotamente para roubar informações confidenciais como as credenciais de início de sessão do utilizador.
Atualização e questões técnicas
Para obter ajuda relacionada com a atualização, consulte o Website do Apache Cordova. Se tiver outras questões técnicas sobre o Apache Cordova, publique uma mensagem em https://www.stackoverflow.com/questions e utilize as etiquetas "android-security" e "cordova".
Nota: apesar de estes problemas poderem não afetar todas as aplicações que utilizem versões do Apache Cordova anteriores à 4.1.1, é melhor manter-se atualizado no que respeita a todos os patches de segurança. Aproveite esta oportunidade para atualizar aplicações com bibliotecas dependentes desatualizadas ou com outras vulnerabilidades.
Antes de publicar aplicações, certifique-se de que estas estão em conformidade com o Contrato de Distribuição para Programadores e a Política de Conteúdos.
Estamos aqui para ajudar
Se tiver perguntas técnicas acerca da vulnerabilidade, pode publicar uma mensagem no Stack Overflow e utilizar a etiqueta "android-security". Para obter um esclarecimento sobre os passos que tem de efetuar para resolver este problema, pode contactar a nossa equipa de apoio técnico a programadores.