如何修正有 Apache Cordova 安全性漏洞的應用程式

開發人員請注意,如果您的應用程式使用 Apache Cordova 4.1.1 以下版本,請詳閱本文資訊。這些版本存在安全性漏洞,違反了《內容政策》的危險產品條款和《開發人員發布協議》第 4.4 條

請儘快將您的應用程式升級至 Apache Cordova 4.1.1 以上版本,並且為升級的 APK 增加版本號碼。如果您所使用的第三方程式庫包含 Apache Cordova,請通知該第三方,並與對方合作解決這個問題。

問題說明

自 2016 年 7 月 11 日起,只要新的應用程式或更新內容使用了 4.1.1 之前的 Apache Cordova 版本,就一律無法在 Google Play 發布。請參閱 Play Console 的通知內容。Play Console 顯示的修正期限過後,Google Play 會將尚未修復安全漏洞的應用程式下架。

須採取行動​

  1. 登入 Play Console,然後前往「快訊」專區查看受影響的應用程式以及解決這些問題的期限。
  2. 更新受影響的應用程式並修復安全漏洞。
  3. 提交受影響應用程式的更新版本。

我們將再次審查您重新提交的應用程式,過程可能需要數小時。如果應用程式可以通過審查並成功發布,您就不需採取進一步行動。如果應用程式未能通過審查,就無法發布新的版本,而且您將收到電子郵件通知。

其他詳細資訊

  • CVE-2015-5256;適用於 4.1.1 之前的 Apache Cordova 版本。如果 Android 上應用程式的許可清單限制設定不當,這些版本就很容易受到影響,造成系統未正確套用許可清單限制的安全漏洞。設計不當的 URI 可能遭用於規避許可清單,藉此執行未列入許可清單的 JavaScript。
  • CVE-2015-1835:適用於 4.0.2 之前的 Apache Cordova 版本。如果有人在 Android 平台上遠端操控 Apache Cordova 中的 Secondary Configuration Variable,這些版本就很容易受到影響。受影響的應用程式如果沒有在 Config.xml 中設定明確的值,可能就會使用由意圖所設定的未定義設定變數。這可能導致應用程式中出現不必要的對話方塊,並使應用程式行為有所變更 (包含強制關閉應用程式)。
  • CVE-2014-3502:適用於 3.5.1 之前的 Apache Cordova 版本。安全漏洞包括極重大的跨應用程式指令碼 (XAS) 安全漏洞。在特定情況下,他人可能會從遠端入侵有安全漏洞的應用程式,藉此竊取使用者登入憑證等機密資訊。

升級和技術問題
如需升級相關協助,請造訪 Apache Cordova 網站。如有 Apache Cordova 相關技術問題,請前往 https://www.stackoverflow.com/questions 張貼問題,並使用「android-security」和「cordova」標記。

注意:雖然這些問題不一定會影響所有使用 Apache Cordova 4.1.1 之前版本的應用程式,我們仍建議您安裝所有最新的安全性修補程式。此外,如果應用程式含有過舊的相依程式庫或其他安全漏洞,也請您一併更新這類應用程式。

發佈應用程式前,請確認應用程式符合《開發人員發布協議》和《內容政策》的規定。

我們很樂意提供協助

如有關於安全漏洞的技術問題,請前往 Stack Overflow 張貼問題並加上「android-security」標記。如需進一步瞭解這個問題的解決步驟,歡迎與開發人員支援小組聯絡。

這篇文章實用嗎?
我們應如何改進呢?