趨勢科技發現Android平台上的Cordova應用程式開發框架存在漏洞,駭客可利用惡意連結任意竄改相關app的外觀、內容,甚至使其當掉。趨勢建議開發者更新Cordova版本,以新版本重新開發app,以避免可能的風險

趨勢科技表示,該漏洞可能導致使用者僅點選URL網址,就會遭到駭客竄改Android裝置上的app,竄改app的內容、行為,甚至促使app完全當掉無法使用。不僅app可能受影響,數以千計Apache Cordova的外掛程式也曝露風險。

根據趨勢的研究,該漏洞為CVE-2015-1835,由於影響的是很普遍一般的開發者實務技巧,屬高嚴重性漏洞。影響的版本包括Apache Cordova 4.0.1以前的版本,多數以Apache Cordova開發的app將受到影響,約佔Google Play上5.6%的app。

該漏洞存在於Cordova的Secondary configuration variables(偏好設定)上,如果Apache中的base activity沒有受到保護,而且採用預設值,駭客便可能改變偏好設定,竄改app的外觀、行為。

開發者可在config.xml中設定偏好,但因為不是所有的偏好都需要設定,開發者通常不會設定所有的偏好值,如果沒有明確的設定偏好,Cordova框架會自動載入base activity的預設值,駭客便有機會透過惡意程式竄改app設定。趨勢表示。

漏洞可能產生的影響包括竄改程式外觀、竄改彈出視窗及內容、竄改程式開啟畫面、竄改app的基本功能,甚至使app當掉無法使用。趨勢建議開發者可升級Cordova至最新的4.0.2,並重新製作新的app版本,以防該漏洞被利用。

趨勢向Cordova通報該漏洞,Cordova官方公告指出,為了修補漏洞已釋出Cordova Android 4.0.2,建議4.0.1以前的版本儘速更新至新版本,舊版本用戶可升級到已修補的3.7.2。至於iOS的Cordova因未發現漏洞不受影響。


Advertisement

更多 iThome相關內容