Как устранить уязвимости Apache Cordova в приложениях

Эта информация предназначена для разработчиков, в чьих приложениях используются версии Apache Cordova ниже 4.1.1. Эти версии содержат уязвимости и нарушают правила в отношении контента (раздел Вредоносные продукты), а также Соглашение о распространении программных продуктов (раздел 4.4).  

Как можно скорее переведите свои приложения на Apache Cordova версии 4.1.1 или выше и обновите номера версий APK-файлов. Если вы используете стороннюю библиотеку, включающую Apache Cordova, обратитесь к ее разработчику за помощью в решении проблемы.

Общая информация

С 11 июля 2016 года в Google Play нельзя публиковать приложения и обновления, использующие версии Apache Cordova ниже 4.1.1. Вам необходимо принять меры до даты, указанной в Play Console. После нее приложения, содержащие уязвимости, могут быть удалены из Google Play.

Необходимые действия

  1. Чтобы узнать, какие приложения уязвимы и как скоро нужно устранить проблему, войдите в Play Console и откройте раздел "Оповещения".
  2. Обновите приложения и устраните уязвимость.
  3. Опубликуйте обновленные версии приложений.

После этого мы проведем повторную проверку, которая может занять несколько часов. Если уязвимость устранена и вы видите, что приложение опубликовано, дополнительных действий не потребуется. Если проблема не решена, новая версия не будет опубликована и вы получите уведомление по электронной почте.

Сведения об уязвимостях

  • CVE-2015-5256. Проблема обнаружена в версиях Apache Cordova ниже 4.1.1. Из-за нее ограничения белого списка в Android могут применяться неправильно. Это позволяет злоумышленникам использовать URI для обхода таких ограничений и выполнять коды JavaScript, которые не входят в список одобренных. 
  • CVE-2015-1835. Проблема обнаружена в версиях Apache Cordova ниже 4.0.2. Она позволяет удаленно использовать вторичные переменные конфигурации в Apache Cordova на платформе Android. Если в файле Сonfig.xml не указаны значения переменных, они могут быть заданы при помощи намерения. Это может привести к появлению нежелательных диалоговых окон и нарушениям в работе приложения (например, к его принудительному закрытию). 
  • CVE-2014-3502. Проблема обнаружена в версиях Apache Cordova ниже 3.5.1. Включает серьезную уязвимость скриптинга между приложениями (XAS). При определенных обстоятельствах злоумышленники могут использовать приложения удаленно для кражи конфиденциальной информации, например учетных данных. 

Обновление и технические вопросы
Подробные инструкции по поводу обновления можно найти на сайте Apache Cordova. Если у вас останутся технические вопросы, задайте их на сайте https://www.stackoverflow.com/questions, используя теги android-security и cordova.

Примечание. Хотя описанные выше уязвимости могут затрагивать не все приложения, созданные в версиях Apache Cordova ниже 4.1.1, мы рекомендуем своевременно устанавливать все обновления, связанные с безопасностью. Пожалуйста, обновите приложения, при создании которых использовались устаревшие и уязвимые библиотеки.

Прежде чем опубликовать приложение, убедитесь, что оно соответствует условиям Соглашения о распространении программных продуктов и Правилам в отношении контента

Мы всегда рады помочь!

Если у вас есть вопросы, задайте их, используя тег android-security. Чтобы получить более подробные разъяснения, свяжитесь с командой поддержки для разработчиков.

Эта информация оказалась полезной?
Как можно улучшить эту статью?