Уязвимость безопасности в Cordova позволяет одним кликом по URL изменять Android-приложения

Уязвимость безопасности в разработческом фреймворке Apache Cordova может позволить злонамеренные инъекции в Android-приложения.

Серьезная ошибка безопасности была обнаружена в API устройств, используемых для разработки Android-приложений.

Разработанный Фондом Apache Software, Apache Cordova — это набор инструментов API устройств, используемых мобильными разработчиками приложений для доступа к функциям устройства, включая акселерометры и камеры, с помощью JavaScript.

API предоставляют библиотеку Javascript для обращения к различным функциям. Когда это используется с Cordova, мобильные приложения могут быть созданы с использованием веб-технологий, таких как CSS, HTML и Javascript. Сервис совместим с платформами Windows Phone, Android, iOS, Blackberry, Bada, Palm WebOS и Symbian.

Cordova признала в бюллетене по безопасности, опубликованном на этой неделе, что в платформе API была обнаружена «серьезная» проблема безопасности.

Обнаруженная командой исследования мобильных угроз TrendMicro (TRT), уязвимость безопасности позволяет злоумышленникам изменять поведение Android-приложений всего лишь одним кликом по URL. Ущерб от модификаций может варьироваться от полного краха приложений до причинения неудобств пользователям приложений.

Это связано с недостатком четких и детализированных значений, установленных в Config.xml для Android-приложений, созданных с использованием фреймворка C ordova, что, в свою очередь, создает возможность для злоумышленников установить неопределенные вторичные переменные конфигурации. Согласно фонду, это может привести к «появлению нежелательных диалогов в приложениях и изменениям в поведении приложения, которые могут включать принудительное закрытие приложения.»

Обозначенная как CVE-2015-1835, уязвимость безопасности требует выполнения определенных условий для полного использования. По крайней мере, один из элементов приложения должен расширяться от корневой активности Cordova — CordovaActivity — или фреймворк Cordova должен быть нарушен, чтобы гарантировать, что система Config.java фреймворка не защищена должным образом. Более того, по крайней мере, одна из поддерживаемых Cordova предпочтений — кроме ErrorUrl и LogLevel — не определена в конфигурационном файле config.xml. TRT говорит:

«Мы считаем, что эта уязвимость высокоэксплуатируемая, потому что условия, которые необходимо выполнить для успешной эксплуатации, являются общими практиками разработчиков. Большинство приложений на основе Cordova действительно расширяют “CordovaActivity”, и очень немногие явно определяют все предпочтения в своей конфигурации.

Более того, все приложения на основе Cordova, построенные с помощью интерфейса командной строки Cordova (CLI)(), автоматически соответствуют упомянутым ранее требованиям для эксплуатации, таким образом, все они уязвимы.»
TRT объяснила: «Наше исследование показало, что если базовая активность не защищена должным образом, а предпочтения установлены по умолчанию, злоумышленник может изменить эти предпочтения и модифицировать внешний вид и поведение самого приложения.» Внешний вид приложения может быть изменен, всплывающие окна, реклама и заставки могут быть добавлены в интерфейс приложения, основные функции приложения могут быть нарушены, или приложение может быть принудительно закрыто из-за ошибки безопасности.

Большинство приложений на основе Cordova, которые составляют 5,6 процента всех приложений в Google Play, подвержены эксплуатации, что было подчеркнуто командой безопасности.

Чтобы исправить эти проблемы безопасности, Cordova выпускает версию 4.0.2 набора API. Она также предлагает, чтобы все Android-приложения, созданные с использованием Cordova 4.0x или выше, были обновлены до версии 4.0.2 Cordova Android. Мобильные разработчики приложений, использующие более старые версии Cordova, также могут обновиться до 3.7.2, чтобы исправить ту же проблему безопасности. Другие платформы, как считается, не подвержены этой уязвимости.