Cordovaのセキュリティバグにより、単一のURLクリックでAndroidアプリが改ざんされる可能性

Apache Cordova開発フレームワークのセキュリティ欠陥により、Androidアプリへの悪意のあるインジェクションが可能になる可能性があります。

Androidアプリケーションを開発するために使用されるデバイスAPI内に深刻なセキュリティの不具合が発見されました。

Apache Software Foundationによって開発されたApache Cordovaは、モバイルアプリ開発者がJavaScriptから加速度センサーやカメラなどのネイティブデバイス機能にアクセスするために使用するデバイスAPIのツールセットです。

これらのAPIは、さまざまな機能にアピールするためのJavaScriptライブラリを提供します。これをCordovaと組み合わせることで、モバイルアプリはCSS、HTML、JavaScriptなどのWeb技術を使用して構築できます。このサービスは、Windows Phone、Android、iOS、Blackberry、Bada、Palm WebOS、Symbianプラットフォームに適応可能です。

Cordovaは今週発表されたセキュリティ速報で、APIプラットフォームに「重大な」セキュリティ問題が発見されたことを認めました。

TrendMicro Mobile Threat Research Team（TRT）によって特定されたこのセキュリティの脆弱性は、攻撃者がURLをクリックするだけでAndroidアプリの動作を変更できることを可能にします。変更による損害は、アプリが完全にクラッシュすることから、アプリユーザーにとっての迷惑を引き起こすことまでさまざまです。

これは、Cordovaフレームワークを使用して構築されたAndroidアプリのConfig.xmlに明確で詳細な値が設定されていないためであり、その結果、脅威行為者が未定義の二次構成変数を挿入する機会が生まれます。財団によれば、これにより「アプリケーションに不要なダイアログが表示され、アプリケーションの動作が変更され、アプリが強制終了することが含まれる可能性があります。」

CVE-2015-1835としてラベル付けされたこのセキュリティの脆弱性は、完全に利用するために特定の条件を必要とします。アプリの要素の少なくとも1つは、CordovaのルートアクティビティであるCordovaActivityから拡張される必要があります。または、Cordovaフレームワークが干渉され、フレームワークのConfig.javaシステムが適切に保護されていないことを確認する必要があります。さらに、Cordovaがサポートする設定の少なくとも1つ（ErrorUrlおよびLogLevelを除く）が構成ファイルconfig.xmlで定義されていない必要があります。TRTは次のように述べています。

「この脆弱性は、成功するために満たす必要がある条件が一般的な開発者の慣行であるため、非常に悪用されやすいと考えています。ほとんどのCordovaベースのアプリは「CordovaActivity」を拡張しており、すべての設定を明示的に定義しているものは非常に少ないです。

さらに、Cordova Command-Line Interface(CLI)から構築されたすべてのCordovaベースのアプリは、前述の悪用の前提条件を自動的に満たすため、すべてが脆弱です。」 TRTは「私たちの研究により、基本アクティビティが適切に保護されておらず、設定がデフォルトに設定されている場合、攻撃者がこれらの設定を変更し、アプリ自体の外観や動作を変更できる可能性があることが明らかになりました。」と説明しました。アプリの見た目が変更されたり、ポップアップ、広告、スプラッシュスクリーンがアプリのインターフェースに追加されたり、アプリの基本機能が干渉されたり、セキュリティの欠陥によりアプリが強制終了される可能性があります。

Google Playのすべてのアプリの5.6％を占めるCordovaベースのアプリの大多数が悪用される可能性があり、これはセキュリティチームによって強調されました。

これらのセキュリティ問題を修正するために、CordovaはAPIセットのバージョン4.0.2をリリースしています。また、Cordova 4.0x以上を使用して構築されたすべてのAndroidアプリは、Cordova Androidのバージョン4.0.2を使用するようにアップグレードする必要があると提案しています。古いバージョンのCordovaを使用しているモバイルアプリ開発者も、同じセキュリティ問題を修正するために3.7.2にアップグレードできます。他のプラットフォームは、この脆弱性の影響を受けないと考えられています。