28. 5. 2015

Specialisté bezpečnostního týmu TrendMicro objevili zranitelnost aplikačního frameworku Apache Cordova. Apache Cordova je open-source varianta platformy PhoneGap, která je populární pro vývoj mobilních aplikací, využívající prvky HTML, kaskádových stylů a JavaScript.

Charakteristika a dopad zranitelnosti

Zranitelnost umožňuje útočníkovi provést modifikaci běhového prostředí Apache Cordova na straně oběti. Stane se tak, pokud oběť přistoupí na speciálně vytvořenou webovou stránku. Běhové prostředí v rámci své činnosti využívá proměnné označované jako tzv. „preferences“ (např. SetFullscreen, BackgroundColor). Vývojář může zmíněné proměnné nastavit na konkrétní hodnoty nebo je ponechat s výchozím obsahem. V případě výchozích hodnot je možné toto nastavení prostřednictvím speciálně modifikovaného webového obsahu změnit a získat přístup k běhovému prostředí.

Postižené systémy

Zranitelnost ovlivňuje všechny verze aplikačního frameworku Apache Cordova do 4.0.1 (OS Android). Statistiky uvádějí, že zmiňovaný framework je použit u 5,6 % aplikací zveřejněných na Google Play.

Řešení

V reakci na bezpečnostní hrozbu byla vytvořena verze 4.0.2 a modifikovaná verze 3.7.2.

CVE

CVE-2015-1835

Odkazy

http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-discovers-apache-vulnerability-that-allows-one-click-modification-of-android-apps/
http://www.securityweek.com/serious-flaw-apache-cordova-puts-android-apps-risk?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29