Error de seguridad en Cordova permite que un solo clic de URL manipule aplicaciones de Android

La falla de seguridad en el marco de desarrollo Apache Cordova podría permitir inyecciones maliciosas en aplicaciones de Android.

Se ha encontrado un grave fallo de seguridad dentro de las API del dispositivo utilizadas para desarrollar aplicaciones de Android.

Desarrollado por The Apache Software Foundation, Apache Cordova, es un conjunto de herramientas de API de dispositivo utilizadas por desarrolladores de aplicaciones móviles para acceder a funciones nativas del dispositivo, incluyendo acelerómetros y cámaras desde JavaScript.

Las API proporcionan una biblioteca de Javascript para apelar a diferentes funciones. Cuando se utiliza con Cordova, se pueden construir aplicaciones móviles utilizando tecnologías web como CSS, HTML y Javascript. El servicio es adaptable con las plataformas Windows Phone, Android, iOS, Blackberry, Bada, Palm WebOS y Symbian.

Cordova ha confesado en un boletín de seguridad publicado esta semana que se ha encontrado un problema de seguridad “grave” en la plataforma API.

Identificado por el equipo de investigación de amenazas móviles de TrendMicro (TRT), la susceptibilidad de seguridad permite a los atacantes modificar el comportamiento de las aplicaciones de Android con solo hacer clic en una URL. El daño de las modificaciones puede variar desde hacer que las aplicaciones se bloqueen completamente hasta causar molestias a los usuarios de la aplicación.

Esto se debe a la deficiencia de valores claros y detallados establecidos en Config.xml por aplicaciones de Android construidas utilizando el marco Cordova, lo que a su vez crea una oportunidad para que los actores de amenazas introduzcan variables de configuración secundarias indefinidas. Según la fundación, esto puede resultar en “diálogos no deseados que aparecen en las aplicaciones y cambios en el comportamiento de la aplicación que pueden incluir el cierre forzado de la aplicación.”

Etiquetada como CVE-2015-1835, la susceptibilidad de seguridad requiere condiciones particulares para aprovecharse completamente. Al menos uno de los elementos de la aplicación debe ampliarse desde la actividad raíz de Cordova — CordovaActivity — o el marco de Cordova debe ser interferido para asegurar que el sistema Config.java del marco no esté debidamente protegido. Además, al menos una de las preferencias soportadas por Cordova — excepto ErrorUrl y LogLevel — no está definida en el archivo de configuración config.xml. TRT dice:

“Creemos que esta vulnerabilidad es altamente explotable porque las condiciones que deben cumplirse para un exploit exitoso son prácticas comunes de desarrollo. La mayoría de las aplicaciones basadas en Cordova extienden la “CordovaActivity” y muy pocas definen explícitamente todas las preferencias en su configuración.

Además, todas las aplicaciones basadas en Cordova que se construyen desde la Interfaz de Línea de Comando de Cordova (CLI)() cumplen automáticamente con los requisitos previos para el exploit mencionados anteriormente, por lo tanto, todas ellas son vulnerables.”
TRT explicó “Nuestra investigación ha revelado que si la actividad base no está debidamente asegurada y las preferencias están configuradas por defecto, un atacante podría alterar estas preferencias y modificar la apariencia y el comportamiento de la propia aplicación.” La apariencia de una aplicación podría cambiar, los popups, anuncios y pantallas de inicio podrían ser administrados en la interfaz de una aplicación, las funcionalidades básicas de una aplicación pueden ser interferidas o la aplicación podría ser forzada a cerrarse debido al fallo de seguridad.

La mayoría de las aplicaciones basadas en Cordova que representan el 5.6 por ciento de todas las aplicaciones en Google Play son susceptibles a explotación, un hecho que fue destacado por el equipo de seguridad.

Para solucionar estos problemas de seguridad, Cordova está lanzando la versión 4.0.2 del conjunto de API. También sugiere que todas las aplicaciones de Android construidas utilizando Cordova 4.0x o superior deben actualizarse para usar la versión 4.0.2 de Cordova Android. Los desarrolladores de aplicaciones móviles que están utilizando versiones anteriores de Cordova también pueden actualizar a 3.7.2 para solucionar el mismo problema de seguridad. Se cree que otras plataformas no están influenciadas por la susceptibilidad.