Segurtasun akatsak Apache Cordova garatzaileen markoan Android aplikazioetan injekzio maltzurrak sor ditzake.
Segurtasun zirrikitu larria aurkitu da Android aplikazioak garatzeko erabiltzen diren gailu APIen barruan.
Apache Software Fundazioak, Apache Cordova-k garatua, aplikazio mugikorreko garatzaileek erabiltzen dituzten gailu APIen tresna multzoa da, bertako gailu funtzioetara hurbiltzeko, besteak beste, azelerometroa eta kamerak Javascript-etik.
APIek Javascript liburutegia ematen dute funtzio desberdinetara joateko. Kordobarekin erabiltzen denean, aplikazio mugikorrak CSS, HTML eta Javascript bezalako web teknologiak erabil daitezke. Zerbitzua moldagarria da Windows Telefonoa, Android, iOS, Blackberry, Bada, Palm WebOS eta Symbian plataformak.
Cordobak aste honetan argitaratutako segurtasun buletin batean aitortu du segurtasun arazo garrantzitsu bat aurkitu dela API plataforman.
TrendMicro Mobile Threat Research Research taldeak (TRT) identifikatuta, segurtasunarekiko sinesgarritasuna Android aplikazioen portaera aldatzeko aukera ematen du URL bat soilik eginez. Aldaketen kalteak aplikazioak erabat huts egitean aplikazioen erabiltzaileentzat gogaikarriak izan daitezke.
Hau da Config.xml-n ezarritako balio garbi eta zehatzen gabezia Cordova markoa erabiliz eraikitako Android aplikazioek. Horrek, aldi berean, mehatxu-eragileentzako aukera zehaztu gabeko bigarren konfigurazioko aldagaiak jartzeko aukera sortzen du. Fundazioaren arabera, aplikazioetan nahi ez diren elkarrizketak eta aplikazioaren indarra ixten dezaketen aplikazioaren portaeran aldaketak ekar ditzake. “
CVE-2015-1835 gisa etiketatuta, segurtasun suszeptibitateak baldintza bereziak behar ditu aprobetxatu ahal izateko. Aplikazioaren elementuetako bat gutxienez Kordobako erro jardueratik handitu behar da (CordovaActivity) edo Cordova markoa oztopatu behar da markoaren Config.java sistema ez dagoela behar bezala babestuta. Gainera, Kordobak onartzen dituen lehentasunetako bat, gutxienez, ErroUrl eta LogLevel izan ezik, konfigurazio fitxategian ez dago config.xml. TRT-k honela dio:
“Uste dugu zaurgarritasun hori oso aprobetxagarria dela ustiatzeko arrakasta izateko bete beharreko baldintzak garatzaileen ohiko praktikak direlako. Kordoban oinarritutako aplikazio gehienek “CordovaActivity” zabaltzen dute eta oso gutxik zehazten dute beraien konfigurazioan lehentasun guztiak.
Gainera, Kordoban oinarritutako aplikazio guztiak Kordobako Komando Linearen Interfaziatik (CLI) eraikitzen dira () automatikoki betetzen dira lehen aipatutako esplotazio baldintzak eta, beraz, guztiak ahulak dira. “
TRT-k azaldu duenez, “Gure ikerketek agerian utzi dute oinarrizko jarduera segurtatuta ez badago eta lehentasunak lehenetsiak ez badira, erasotzaile bat lehentasun horiek aldatu eta aplikazioaren beraren itxura eta portaera aldatzeko gai izan daiteke”. Aplikazioaren itxura alda liteke, popupak, iragarkiak eta pantailetako pantailak aplikazioaren interfazean administratu litezke, aplikazioaren oinarrizko funtzionaltasunak oztopatu daitezke edo aplikazioa huts egitera behartu liteke segurtasun hutsegitea dela eta.
Kordoban oinarritutako aplikazioaren gehiengoa 5.6 Google Play-ren aplikazio guztien ehunekoa ustiatzeko gai da, segurtasun taldeak nabarmendu zuena.
Segurtasun arazo horiek konpontzeko, Cordobak bertsioa askatzen ari da 4.0.2. APIaren multzoa. Kordobaren bidez eraikitako Android aplikazio guztiak ere iradokitzen ditu 4.0x edo handiagoa bertsio berritu behar da 4.0.2 de Cordova Android. Kordobako bertsio zaharragoak erabiltzen ari diren aplikazio mugikorreko garatzaileek bertsio berria ere egin dezakete 3.7.2 segurtasun arazo bera konpontzeko. Sentsibilitatean eraginik ez dutela uste dute beste plataformek.