趨勢科技：Cordova開發框架有漏洞，駭客利用惡意連結就可竄改Android App

趨勢科技發現Android平台上的Cordova應用程式開發框架存在漏洞，駭客可利用惡意連結任意竄改相關app的外觀、內容，甚至使其當掉。趨勢建議開發者更新Cordova版本，以新版本重新開發app，以避免可能的風險

趨勢科技表示，該漏洞可能導致使用者僅點選URL網址，就會遭到駭客竄改Android裝置上的app，竄改app的內容、行為，甚至促使app完全當掉無法使用。不僅app可能受影響，數以千計Apache Cordova的外掛程式也曝露風險。

根據趨勢的研究，該漏洞為CVE-2015-1835，由於影響的是很普遍一般的開發者實務技巧，屬高嚴重性漏洞。影響的版本包括Apache Cordova 4.0.1以前的版本，多數以Apache Cordova開發的app將受到影響，約佔Google Play上5.6%的app。

該漏洞存在於Cordova的Secondary configuration variables（偏好設定）上，如果Apache中的base activity沒有受到保護，而且採用預設值，駭客便可能改變偏好設定，竄改app的外觀、行為。

開發者可在config.xml中設定偏好，但因為不是所有的偏好都需要設定，開發者通常不會設定所有的偏好值，如果沒有明確的設定偏好，Cordova框架會自動載入base activity的預設值，駭客便有機會透過惡意程式竄改app設定。趨勢表示。

漏洞可能產生的影響包括竄改程式外觀、竄改彈出視窗及內容、竄改程式開啟畫面、竄改app的基本功能，甚至使app當掉無法使用。趨勢建議開發者可升級Cordova至最新的4.0.2，並重新製作新的app版本，以防該漏洞被利用。

趨勢向Cordova通報該漏洞，Cordova官方公告指出，為了修補漏洞已釋出Cordova Android 4.0.2，建議4.0.1以前的版本儘速更新至新版本，舊版本用戶可升級到已修補的3.7.2。至於iOS的Cordova因未發現漏洞不受影響。