Android 的開源同時亦令其特別受黑客的「寵愛」,日前趨勢科技就揭露出 Android 程式開發框架 Apache Cordova 的漏洞,令黑客可以透過惡意連結就輕易竄改相關應用程式的外觀、內容、甚至使其崩潰。趨勢就建議開發人員應儘快更新 Cordova 的版本,並以新版本 Cordova 重新開發相關應用,避免任何可能的風險。
黑客可一鍵竄改目標應用
據趨勢的研究指,編號為 CVE-2015-1835 的漏洞屬高嚴重性漏洞:即使用戶只點擊相關的 URL 網址,黑客已可竄改其 Android 裝置上的相關應用:受影響的範圍包括應用的內容、行為、甚至可令目標應用完全崩潰至無法使用。更嚴重的是,除應用外,數以千計的 Apache Cordova 外掛程式亦曝露於風險中。
由於漏洞影響一般的開發者實務技巧,故此其影響範圍相當廣泛:受影響的包括 Apache Cordova 4.0.1 前的版本,令為數眾多以 Apache Cordova 開發的應用均受到影響,估計約佔 Google Play 上5.6% 的應用。
上述漏洞存在於 Cordova 的 Secondary configuration variables (偏好設定) 中,儘管開發人員可於 config.xml 中設定偏好,但若偏好未有被明確設定,Cordova 就會自動套用 base activity 的預設值,令黑客可以透過惡意程式竄改相關應用的設定。
黑客可透過此漏洞竄改程式外觀、彈出視窗與內容、程式畫面、影響其基本功能等:故此趨勢建議開發人員可升級至 Cordova 至最新的 4.0.2,並重新製作新版本的應用程式,以防產品被利用。
而 Cordova 官方亦於趨勢回報是次事件後,推出 Cordova Android 4.0.2:並建議 4.0.1 前的版本均儘快更新至新版本,而舊版本的用戶亦可升級至已修補的 3.7.2;由於 iOS 的 Cordova 未發現漏洞所以不受影響。
Source:Trend Micro