Un bug di sicurezza in Cordova consente a un singolo clic su un URL di manomettere le app Android

Una falla di sicurezza nel framework di sviluppo Apache Cordova potrebbe consentire iniezioni malevole nelle app Android.

È stato trovato un grave difetto di sicurezza all’interno delle API del dispositivo utilizzate per sviluppare applicazioni Android.

Sviluppato dalla Apache Software Foundation, Apache Cordova è un insieme di strumenti di API del dispositivo utilizzati dagli sviluppatori di app mobili per accedere alle funzioni native del dispositivo, inclusi accelerometri e fotocamere, da JavaScript.

Le API forniscono una libreria Javascript per richiamare diverse funzioni. Quando questo viene utilizzato con Cordova, le app mobili possono essere costruite utilizzando tecnologie web come CSS, HTML e Javascript. Il servizio è adattabile con le piattaforme Windows Phone, Android, iOS, Blackberry, Bada, Palm WebOS e Symbian.

Cordova ha confessato in un bollettino di sicurezza pubblicato questa settimana che è stato trovato un problema di sicurezza “maggiore” nella piattaforma API.

Identificata dal T rendMicro Mobile Threat Research Team (TRT), la vulnerabilità di sicurezza consente agli attaccanti di modificare il comportamento delle app Android semplicemente cliccando su un URL. I danni delle modifiche possono variare dal blocco completo delle app a causare fastidi per gli utenti delle app.

Ciò è dovuto alla mancanza di valori chiari e dettagliati impostati in Config.xml dalle app Android costruite utilizzando il framework Cordova, che a sua volta crea un’opportunità per gli attori delle minacce di inserire variabili di configurazione secondarie non definite. Secondo la fondazione, questo può comportare “dialoghi indesiderati che appaiono nelle applicazioni e cambiamenti nel comportamento dell’applicazione che possono includere la chiusura forzata dell’app.”

Etichettata come CVE-2015-1835, la vulnerabilità di sicurezza richiede condizioni particolari per essere sfruttata appieno. Almeno uno degli elementi dell’app deve estendersi dall’attività radice di Cordova — CordovaActivity — o il framework Cordova deve essere interferito per garantire che il sistema Config.java del framework non sia adeguatamente protetto. Inoltre, almeno una delle preferenze supportate da Cordova — eccetto ErrorUrl e LogLevel — non è definita nel file di configurazione config.xml. TRT afferma:

“Riteniamo che questa vulnerabilità sia altamente sfruttabile perché le condizioni che devono essere soddisfatte per un exploit riuscito sono pratiche comuni degli sviluppatori. La maggior parte delle app basate su Cordova estende la “CordovaActivity” e molto poche definiscono esplicitamente tutte le preferenze nella loro configurazione.

Inoltre, tutte le app basate su Cordova costruite dall’interfaccia a riga di comando Cordova (CLI)() soddisfano automaticamente i requisiti per l’exploit menzionati in precedenza, quindi tutte sono vulnerabili.”
TRT ha spiegato “La nostra ricerca ha rivelato che se l’attività di base non è adeguatamente protetta e le preferenze sono impostate su predefinito, un attaccante potrebbe essere in grado di alterare queste preferenze e modificare l’aspetto e il comportamento dell’app stessa.” L’aspetto di un’app potrebbe essere cambiato, popup, pubblicità e schermate di avvio potrebbero essere gestiti nell’interfaccia di un’app, le funzionalità di base di un’app potrebbero essere interferite o l’app potrebbe essere costretta a bloccarsi a causa del difetto di sicurezza.

La maggior parte delle app basate su Cordova, che rappresentano il 5,6 percento di tutte le app in Google Play, sono suscettibili all’exploit, un fatto evidenziato dal team di sicurezza.

Per risolvere questi problemi di sicurezza, Cordova sta rilasciando la versione 4.0.2 del set di API. Suggerisce anche che tutte le applicazioni Android costruite utilizzando Cordova 4.0x o superiore devono essere aggiornate per utilizzare la versione 4.0.2 di Cordova Android. Gli sviluppatori di app mobili che utilizzano versioni precedenti di Cordova possono anche aggiornare a 3.7.2 per risolvere lo stesso problema di sicurezza. Si ritiene che altre piattaforme non siano influenzate dalla vulnerabilità.