Erro de segurança no Cordova permite que um único clique em URL comprometa aplicativos Android

Falha de segurança no framework de desenvolvimento Apache Cordova pode permitir injeções maliciosas em aplicativos Android.

Um sério problema de segurança foi encontrado dentro das APIs de dispositivo usadas para desenvolver aplicativos Android.

Desenvolvido pela The Apache Software Foundation, Apache Cordova é um conjunto de ferramentas de APIs de dispositivo usadas por desenvolvedores de aplicativos móveis para acessar funções nativas do dispositivo, incluindo acelerômetros e câmeras a partir do JavaScript.

As APIs fornecem uma biblioteca Javascript para apelar a diferentes funções. Quando isso é usado com o Cordova, aplicativos móveis podem ser construídos usando tecnologias web como CSS, HTML e Javascript. O serviço é adaptável com as plataformas Windows Phone, Android, iOS, Blackberry, Bada, Palm WebOS e Symbian.

O Cordova confessou em um boletim de segurança publicado esta semana que um problema de segurança “grave” foi encontrado na plataforma de API.

Identificado pela equipe de pesquisa de ameaças móveis da TrendMicro (TRT), a vulnerabilidade de segurança permite que atacantes modifiquem o comportamento de aplicativos Android apenas clicando em um URL. O dano das modificações pode variar desde o fechamento completo dos aplicativos até causar incômodos para os usuários do aplicativo.

Isso se deve à deficiência de valores claros e detalhados definidos no Config.xml por aplicativos Android construídos usando o framework Cordova, que por sua vez cria uma oportunidade para que agentes de ameaça coloquem variáveis de configuração secundárias indefinidas. De acordo com a fundação, isso pode resultar em “diálogos indesejados aparecendo em aplicativos e mudanças no comportamento do aplicativo que podem incluir o fechamento forçado do aplicativo.”

Rotulado como CVE-2015-1835, a vulnerabilidade de segurança requer condições específicas para ser totalmente explorada. Pelo menos um dos elementos do aplicativo deve se expandir a partir da atividade raiz do Cordova — CordovaActivity — ou o framework Cordova deve ser interferido para garantir que o sistema Config.java do framework não esteja devidamente protegido. Além disso, pelo menos uma das preferências suportadas pelo Cordova — exceto ErrorUrl e LogLevel — não está definida no arquivo de configuração config.xml. A TRT afirma:

“Acreditamos que essa vulnerabilidade é altamente explorável porque as condições que precisam ser atendidas para uma exploração bem-sucedida são práticas comuns de desenvolvedores. A maioria dos aplicativos baseados em Cordova estende a “CordovaActivity” e muito poucos definem explicitamente todas as preferências em sua configuração.

Além disso, todos os aplicativos baseados em Cordova construídos a partir da Interface de Linha de Comando do Cordova (CLI)() atendem automaticamente aos pré-requisitos de exploração mencionados anteriormente, portanto, todos eles são vulneráveis.”
A TRT explicou “Nossa pesquisa revelou que se a atividade base não estiver devidamente segura e as preferências estiverem definidas como padrão, um atacante pode ser capaz de alterar essas preferências e modificar a aparência e o comportamento do próprio aplicativo.” A aparência de um aplicativo pode ser alterada, pop-ups, anúncios e telas de introdução podem ser administrados na interface de um aplicativo, as funcionalidades básicas de um aplicativo podem ser interferidas ou o aplicativo pode ser forçado a fechar devido à falha de segurança.

A maioria dos aplicativos baseados em Cordova, que representam 5,6 por cento de todos os aplicativos no Google Play, são passíveis de exploração, um fato que foi destacado pela equipe de segurança.

Para corrigir esses problemas de segurança, o Cordova está lançando a versão 4.0.2 do conjunto de APIs. Também sugere que todos os aplicativos Android construídos usando o Cordova 4.0x ou superior devem ser atualizados para usar a versão 4.0.2 do Cordova Android. Desenvolvedores de aplicativos móveis que estão usando versões mais antigas do Cordova também podem atualizar para 3.7.2 para corrigir o mesmo problema de segurança. Acredita-se que outras plataformas não sejam influenciadas pela vulnerabilidade.