Un bug de sécurité dans Cordova permet à un seul clic sur une URL de compromettre les applications Android

Une faille de sécurité dans le framework de développement Apache Cordova pourrait permettre des injections malveillantes dans les applications Android.

Un grave problème de sécurité a été découvert dans les API de l’appareil utilisées pour développer des applications Android.

Développé par la Fondation Apache Software, Apache Cordova est un ensemble d’outils d’API d’appareil utilisé par les développeurs d’applications mobiles pour accéder aux fonctions natives de l’appareil, y compris l’accéléromètre et les caméras depuis JavaScript.

Les API fournissent une bibliothèque Javascript pour accéder à différentes fonctions. Lorsqu’elles sont utilisées avec Cordova, des applications mobiles peuvent être construites en utilisant des technologies web telles que CSS, HTML et Javascript. Le service est adaptable aux plateformes Windows Phone, Android, iOS, Blackberry, Bada, Palm WebOS et Symbian.

Cordova a avoué dans un bulletin de sécurité publié cette semaine qu’un problème de sécurité « majeur » a été trouvé dans la plateforme API.

Identifiée par l’équipe de recherche sur les menaces mobiles de TrendMicro (TRT), la vulnérabilité de sécurité permet aux attaquants de modifier le comportement des applications Android en cliquant simplement sur une URL. Les dommages causés par ces modifications peuvent aller d’un crash complet des applications à des désagréments pour les utilisateurs d’applications.

Cela est dû à la carence de valeurs claires et détaillées définies dans Config.xml par les applications Android construites avec le framework Cordova, ce qui crée une opportunité pour les acteurs malveillants d’introduire des variables de configuration secondaires non définies. Selon la fondation, cela peut entraîner « l’apparition de dialogues indésirables dans les applications et des changements dans le comportement de l’application, pouvant inclure la fermeture forcée de l’application. »

Étiquetée comme CVE-2015-1835, la vulnérabilité de sécurité nécessite des conditions particulières pour être pleinement exploitée. Au moins un des éléments de l’application doit s’étendre à partir de l’activité racine de Cordova — CordovaActivity — ou le framework Cordova doit être altéré pour garantir que le système Config.java du framework n’est pas correctement protégé. De plus, au moins une des préférences prises en charge par Cordova — à l’exception de ErrorUrl et LogLevel — n’est pas définie dans le fichier de configuration config.xml. TRT déclare :

« Nous pensons que cette vulnérabilité est hautement exploitable car les conditions à remplir pour un exploit réussi sont des pratiques courantes chez les développeurs. La plupart des applications basées sur Cordova étendent la “CordovaActivity” et très peu définissent explicitement toutes les préférences dans leur configuration.

De plus, toutes les applications basées sur Cordova construites à partir de l’interface de ligne de commande Cordova (CLI)() répondent automatiquement aux prérequis d’exploitation mentionnés précédemment, donc toutes sont vulnérables. »
TRT a expliqué : « Notre recherche a révélé que si l’activité de base n’est pas correctement sécurisée et que les préférences sont définies par défaut, un attaquant peut être en mesure de modifier ces préférences et de modifier l’apparence et le comportement de l’application elle-même. » L’apparence d’une application pourrait être changée, des popups, des publicités et des écrans de démarrage pourraient être intégrés dans l’interface d’une application, les fonctionnalités de base d’une application pourraient être altérées ou l’application pourrait être forcée de planter en raison de la faille de sécurité.

La majorité des applications basées sur Cordova, qui représentent 5,6 % de toutes les applications dans Google Play, sont susceptibles d’être exploitées, un fait souligné par l’équipe de sécurité.

Pour corriger ces problèmes de sécurité, Cordova publie la version 4.0.2 de l’ensemble API. Il suggère également que toutes les applications Android construites avec Cordova 4.0x ou supérieur doivent être mises à jour pour utiliser la version 4.0.2 de Cordova Android. Les développeurs d’applications mobiles utilisant des versions antérieures de Cordova peuvent également mettre à jour vers 3.7.2 pour corriger le même problème de sécurité. D’autres plateformes ne devraient pas être affectées par la vulnérabilité.