Sicherheitsfehler in Cordova ermöglicht es, mit einem einzigen URL-Klick Android-Apps zu manipulieren

Sicherheitsanfälligkeit im Apache Cordova-Entwickler-Framework könnte bösartige Injektionen in Android-Apps ermöglichen.

Ein schwerwiegender Sicherheitsfehler wurde in den Geräte-APIs gefunden, die zur Entwicklung von Android-Anwendungen verwendet werden.

Entwickelt von der Apache Software Foundation, ist Apache Cordova eine Sammlung von Werkzeugen und Geräte-APIs, die von mobilen App-Entwicklern verwendet werden, um auf native Gerätefunktionen wie Beschleunigungsmesser und Kameras aus JavaScript zuzugreifen.

Die APIs bieten eine JavaScript-Bibliothek, um auf verschiedene Funktionen zuzugreifen. Wenn dies mit Cordova verwendet wird, können mobile Apps mit Webtechnologien wie CSS, HTML und JavaScript erstellt werden. Der Dienst ist anpassbar für die Plattformen Windows Phone, Android, iOS, Blackberry, Bada, Palm WebOS und Symbian.

Cordova hat in einem Sicherheitsbulletin, das diese Woche veröffentlicht wurde, zugegeben, dass ein „großes“ Sicherheitsproblem in der API-Plattform gefunden wurde.

Identifiziert vom TrendMicro Mobile Threat Research Team (TRT), ermöglicht die Sicherheitsanfälligkeit Angreifern, das Verhalten von Android-Apps nur durch Klicken auf eine URL zu ändern. Der Schaden der Modifikationen kann von einem vollständigen Absturz der Apps bis hin zu Belästigungen für die App-Nutzer reichen.

Dies ist auf das Fehlen klarer und detaillierter Werte in Config.xml durch Android-Apps zurückzuführen, die mit dem C ordova-Framework erstellt wurden, was wiederum eine Gelegenheit für Bedrohungsakteure schafft, undefinierte sekundäre Konfigurationsvariablen einzufügen. Laut der Stiftung kann dies dazu führen, dass „unerwünschte Dialoge in Anwendungen erscheinen und Änderungen im Anwendungs Verhalten auftreten, die das erzwungene Schließen der App umfassen können.“

Als CVE-2015-1835 gekennzeichnet, erfordert die Sicherheitsanfälligkeit bestimmte Bedingungen, um vollständig ausgenutzt zu werden. Mindestens eines der Elemente der App muss von Cordovas Root-Aktivität — CordovaActivity — erweitert werden oder das Cordova-Framework muss gestört werden, um sicherzustellen, dass das Config.java-System des Frameworks nicht ordnungsgemäß geschützt ist. Darüber hinaus muss mindestens eine der von Cordova unterstützten Präferenzen — mit Ausnahme von ErrorUrl und LogLevel — nicht in der Konfigurationsdatei config.xml definiert sein. TRT sagt:

„Wir glauben, dass diese Schwachstelle sehr ausnutzbar ist, da die Bedingungen, die für einen erfolgreichen Exploit erfüllt sein müssen, gängige Entwicklerpraktiken sind. Die meisten auf Cordova basierenden Apps erweitern die „CordovaActivity“ und nur sehr wenige definieren alle Präferenzen explizit in ihrer Konfiguration.

Darüber hinaus erfüllen alle auf Cordova basierenden Apps, die automatisch aus der Cordova Command-Line Interface (CLI)() erstellt werden, die zuvor genannten Exploit-Voraussetzungen, sodass alle von ihnen anfällig sind.“
TRT erklärte: „Unsere Forschung hat ergeben, dass, wenn die Basisaktivität nicht ordnungsgemäß gesichert ist und die Präferenzen auf Standard gesetzt sind, ein Angreifer in der Lage sein könnte, diese Präferenzen zu ändern und das Aussehen und Verhalten der App selbst zu modifizieren.“ Das Aussehen einer App könnte geändert werden, Popups, Werbung und Splashscreens könnten in die Benutzeroberfläche einer App eingefügt werden, die grundlegenden Funktionen einer App könnten beeinträchtigt werden oder die App könnte aufgrund des Sicherheitsfehlers zum Absturz gebracht werden.

Die Mehrheit der auf Cordova basierenden Apps, die 5,6 Prozent aller Apps im Google Play ausmachen, sind anfällig für Exploits, ein Fakt, der vom Sicherheitsteam hervorgehoben wurde.

Um diese Sicherheitsprobleme zu beheben, veröffentlicht Cordova Version 4.0.2 des API-Sets. Es wird auch empfohlen, dass alle Android-Anwendungen, die mit Cordova 4.0x oder höher erstellt wurden, auf Version 4.0.2 von Cordova Android aktualisiert werden müssen. Mobile App-Entwickler, die ältere Versionen von Cordova verwenden, können ebenfalls auf 3.7.2 aktualisieren, um dasselbe Sicherheitsproblem zu beheben. Andere Plattformen werden als nicht von der Anfälligkeit betroffen angesehen.