Исследователи безопасности из Trend Micro обнаружили серьезную уязвимость во фреймворке Apache Cordova, которая ставит под угрозу взлома, по крайней мере, одно из двадцати приложений для Android.
Apache Cordova, который используется в 5,6% Android-программ, представляет собой группу методов API, позволяющих разрабатывать кросс-платформенные приложения, используя стандартные web-технологии, такие как HTML5, CSS3 и JavaScript. Приложение запускается на мобильном устройстве и может получать доступ к оригинальным функциям гаджета, таким как GPS или камера. С помощью методов API Cordova разработчик может создать мобильное приложение без необходимости написания оригинального кода.
По словам специалистов Trend Micro, эксплуатация бреши (CVE-2015-1835) позволяет злоумышленнику модифицировать поведение приложения путем простого щелчка на URL. Уязвимость существует в результате некорректной работы фреймворка с настройками приложений. Настройки (Preferences) – это ряд показателей, с помощью которых разработчики конфигурируют свои программы. Любые манипуляции с ними во время инициализации могут серьезно повлиять на нормальное поведение приложения, пояснили эксперты. Эксплуатация бреши позволяет злоумышленнику выполнять различные действия, в том числе изменять пользовательский интерфейс, внедрять всплывающие баннеры и текстовые сообщения, а также модифицировать базовые функции приложения и осуществить отказ в работе.
Разработчик Apache Cordova уже выпустил исправленные версии фреймворка 4.0.2 (для пользователей Cordova 4.0.x и выше) и 3.7.2 (для пользователей более ранних версий Cordova).
securitylab.ru