Como corrigir apps com vulnerabilidades do Apache Cordova

Estas informações são destinadas aos desenvolvedores de apps que usam versões do Apache Cordova anteriores à 4.1.1. Essas versões têm vulnerabilidades de segurança e violam a cláusula de Produtos perigosos da Política de conteúdo e a seção 4.4 do Contrato de distribuição do desenvolvedor.  

Faça a migração dos seus apps para o Apache Cordova v.4.1.1 ou superior o quanto antes e aumente o número da versão do APK atualizado. Caso você use uma biblioteca de terceiros que inclua o Apache Cordova, informe-os sobre o problema e trabalhe com eles para encontrar soluções.

O que está acontecendo

Em 11 de julho de 2016, o Google Play começou a bloquear a publicação de novos apps ou atualizações que usam versões do Apache Cordova anteriores à versão 4.1.1. Consulte o aviso no Play Console. Após os prazos exibidos no Play Console, todos os apps com vulnerabilidades de segurança não corrigidas poderão ser removidos do Google Play.

Ação necessária​

  1. Faça login no Play Console e acesse a seção "Alertas" para ver os apps afetados e os prazos para resolver os problemas.
  2. Atualize esses apps e corrija a vulnerabilidade.
  3. Envie as versões atualizadas dos apps afetados.

Após o reenvio, seu app será revisado novamente. Esse processo pode levar várias horas. Se o app for aprovado na revisão e publicado, nenhuma outra ação será necessária. Se ele for reprovado, a nova versão não será publicada, e você receberá uma notificação por e-mail.

Detalhes adicionais

  • CVE-2015-5256 (página em inglês): para versões do Apache Cordova anteriores à 4.1.1. Essas versões são vulneráveis à aplicação imprópria de restrições da lista de permissões no Android. Isso leva a uma vulnerabilidade em que restrições da lista de permissões não são aplicadas adequadamente. Os URIs desenvolvidos de maneira inadequada podem ser usados para burlar a lista de permissões, fazendo com que um JavaScript fora da lista possa ser executado. 
  • CVE-2015-1835: para versões do Apache Cordova anteriores à 4.0.2. Essas versões são vulneráveis à exploração remota de variáveis de configuração secundária no Apache Cordova no Android. Os apps afetados sem valores explícitos definidos em Config.xml podem ter variáveis de configuração indefinidas determinadas pelo intent. Isso pode resultar na exibição de caixas de diálogo indesejadas nos apps e em alterações no comportamento do app, incluindo o fechamento forçado. 
  • CVE-2014-3502: para versões do Apache Cordova anteriores à 3.5.1. Entre as vulnerabilidades, há uma de alta severidade relacionada à linguagem de script entre apps (XAS, na sigla em inglês). Em certas circunstâncias, os apps suscetíveis podem ser explorados remotamente para o roubo de informações confidenciais, como a credencial de login do usuário. 

Upgrades e questões técnicas
Para receber ajuda na realização do upgrade, acesse o website do Apache Cordova (em inglês). Se você tiver outras questões técnicas sobre o Apache Cordova, poste em https://www.stackoverflow.com/questions e use as tags "android-security" e "cordova".

Mesmo que esses problemas específicos não afetem todos os apps que usam o Apache Cordova nas versões anteriores à 4.1.1, recomenda-se ter todos os patches de segurança atualizados. Atualize seus apps que têm bibliotecas dependentes e desatualizadas ou com outras vulnerabilidades.

Antes de publicar apps, verifique se eles estão em conformidade com o Contrato de distribuição do desenvolvedor e a Política de conteúdo

Estamos aqui para ajudar

Se você tiver dúvidas técnicas sobre a vulnerabilidade, escreva uma postagem no Stack Overflow e use a tag "android-security". Caso precise de mais informações sobre as etapas necessárias para resolver esse problema, entre em contato com nossa equipe de suporte ao desenvolvedor.

Isso foi útil?
Como podemos melhorá-lo?