วิธีแก้ไขแอปที่มีช่องโหว่จาก Apache Cordova

ข้อมูลนี้มีให้สำหรับนักพัฒนาซอฟต์แวร์ของแอปที่ใช้ Apache Cordova เวอร์ชันก่อน 4.1.1 เวอร์ชันเหล่านี้มีช่องโหว่ด้านความปลอดภัยและละเมิดข้อกำหนดผลิตภัณฑ์อันตรายของนโยบายเนื้อหาและหัวข้อ 4.4 ของข้อตกลงการจัดจำหน่ายของนักพัฒนาซอฟต์แวร์  

โปรดย้ายข้อมูลแอปไปใช้ Apache Cordova v.4.1.1 ขึ้นไปโดยเร็วที่สุดและเพิ่มหมายเลขเวอร์ชันของ APK ที่อัปเกรด หากคุณใช้ไลบรารีของบุคคลที่สามที่มี Apache Cordova โปรดแจ้งบุคคลที่สามรายนั้นและร่วมมือกันเพื่อจัดการปัญหานี้

สิ่งที่เกิดขึ้น

ตั้งแต่วันที่ 11 กรกฎาคม 2016 Google Play ได้เริ่มบล็อกการเผยแพร่แอปใหม่ๆ หรืออัปเดตที่ใช้ Apache Cordova เวอร์ชันก่อน 4.1.1 โปรดดูประกาศใน Play Console เราอาจนำแอปที่มีช่องโหว่ด้านความปลอดภัยที่ไม่มีการแก้ไขออกจาก Google Play หลังพ้นกำหนดเวลาที่แสดงใน Play Console

สิ่งที่ต้องดำเนินการ​

  1. ลงชื่อเข้าใช้ Play Console และไปที่ส่วนการแจ้งเตือนเพื่อดูแอปที่ได้รับผลกระทบและกำหนดเวลาในการแก้ไขปัญหาเหล่านี้
  2. อัปเดตแอปที่ได้รับผลกระทบและแก้ไขช่องโหว่
  3. ส่งเวอร์ชันที่อัปเดตของแอปที่ได้รับผลกระทบ

แอปของคุณจะได้รับการตรวจสอบอีกครั้งเมื่อมีการส่งใหม่ ขั้นตอนนี้อาจใช้เวลาหลายชั่วโมง หากแอปผ่านการตรวจสอบและเผยแพร่เรียบร้อยแล้ว คุณไม่ต้องดำเนินการใดๆ เพิ่มเติม หากแอปไม่ผ่านการตรวจสอบจะไม่มีการเผยแพร่แอปเวอร์ชันใหม่และคุณจะได้รับการแจ้งเตือนทางอีเมล

รายละเอียดเพิ่มเติม

  • CVE-2015-5256 ใช้กับ Apache Cordova เวอร์ชันก่อน 4.1.1 เวอร์ชันเหล่านี้เสี่ยงต่อการใช้งานข้อจำกัดของการอนุญาตพิเศษอย่างไม่เหมาะสมบน Android ซึ่งทำให้เกิดช่องโหว่ให้มีการใช้ข้อจำกัดของการอนุญาตพิเศษอย่างไม่เหมาะสม อาจมีการใช้ URI ที่สร้างมาอย่างไม่เหมาะสมเพื่อหลีกเลี่ยงการอนุญาตพิเศษทำให้เรียกใช้ JavaScript ที่ไม่ได้รับการอนุญาตพิเศษได้ 
  • CVE-2015-1835 ใช้กับ Apache Cordova เวอร์ชันก่อน 4.0.2 เวอร์ชันเหล่านี้เสี่ยงต่อการแสวงหาประโยชน์จากตัวแปรการกำหนดค่าสำรองจากระยะไกลใน Apache Cordova บน Android แอปที่ได้รับผลกระทบที่ไม่มีการกำหนดค่าอย่างชัดแจ้งใน Config.xml อาจมีตัวแปรการกำหนดค่าจาก Intent ที่ไม่ได้ประกาศค่าไว้ ปัญหานี้อาจทำให้กล่องโต้ตอบที่ไม่พึงประสงค์ปรากฏขึ้นในแอปพลิเคชันและทำให้การทำงานของแอปพลิเคชันมีการเปลี่ยนแปลงที่อาจรวมถึงการบังคับให้ปิดแอปด้วย 
  • CVE-2014-3502 ใช้กับ Apache Cordova เวอร์ชันก่อน 3.5.1 ช่องโหว่ต่างๆ จะรวมถึงช่องโหว่การเขียนสคริปต์ข้ามแอปพลิเคชัน (XAS) ที่มีความร้ายแรงในระดับสูง ในบางสถานการณ์ แอปที่มีความเสี่ยงอาจถูกใช้แสวงหาประโยชน์จากระยะไกลเพื่อขโมยข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลเข้าสู่ระบบของผู้ใช้ 

การอัปเกรดและคำถามทางเทคนิค
สำหรับความช่วยเหลือในการอัปเกรด โปรดดูเว็บไซต์ Apache Cordova หากคุณมีคำถามทางเทคนิคอื่นๆ เกี่ยวกับ Apache Cordova โปรดโพสต์คำถามที่ https://www.stackoverflow.com/questions โดยใช้แท็ก “android-security” และ “cordova”

หมายเหตุ: แม้ว่าปัญหาเหล่านี้อาจส่งผลกระทบต่อแอปที่ใช้ Apache Cordova เวอร์ชันก่อน 4.1.1 เพียงบางแอป แต่คุณควรอัปเดตแพตช์ความปลอดภัยทั้งหมดอยู่เสมอ โปรดสละเวลาเพื่ออัปเดตแอปที่มีไลบรารีที่ต้องอิงอาศัยกันที่ล้าสมัยแล้วหรือมีช่องโหว่อื่นๆ

ก่อนเผยแพร่แอป โปรดตรวจสอบว่าแอปปฏิบัติตามข้อตกลงการจัดจำหน่ายของนักพัฒนาซอฟต์แวร์และนโยบายเนื้อหา 

เราพร้อมช่วยเหลือคุณ

หากมีคำถามทางเทคนิคเกี่ยวกับช่องโหว่ คุณโพสต์ถามได้ที่ Stack Overflow และใช้แท็ก “android-security” หากต้องการคำชี้แจงเกี่ยวกับขั้นตอนที่ต้องดำเนินการเพื่อแก้ไขปัญหานี้ โปรดติดต่อทีมสนับสนุนนักพัฒนาซอฟต์แวร์

ข้อมูลนี้มีประโยชน์ไหม
เราจะปรับปรุงได้อย่างไร