Эксплуатация бреши позволяет злоумышленнику модифицировать поведение приложений путем простого щелчка на URL.
Исследователи безопасности из Trend Micro обнаружили серьезную уязвимость во фреймворке Apache Cordova, которая ставит под угрозу взлома, по крайней мере, одно из двадцати приложений для Android.
Apache Cordova, который используется в 5,6% Android-программ, представляет собой группу методов API, позволяющих разрабатывать кросс-платформенные приложения, используя стандартные web-технологии, такие как HTML5, CSS3 и JavaScript. Приложение запускается на мобильном устройстве и может получать доступ к оригинальным функциям гаджета, таким как GPS или камера. С помощью методов API Cordova разработчик может создать мобильное приложение без необходимости написания оригинального кода.
По словам специалистов Trend Micro, эксплуатация бреши ( CVE-2015-1835 ) позволяет злоумышленнику модифицировать поведение приложения путем простого щелчка на URL. Уязвимость существует в результате некорректной работы фреймворка с настройками приложений. Настройки (Preferences) – это ряд показателей, с помощью которых разработчики конфигурируют свои программы. Любые манипуляции с ними во время инициализации могут серьезно повлиять на нормальное поведение приложения, пояснили эксперты. Эксплуатация бреши позволяет злоумышленнику выполнять различные действия, в том числе изменять пользовательский интерфейс, внедрять всплывающие баннеры и текстовые сообщения, а также модифицировать базовые функции приложения и осуществить отказ в работе.
Разработчик Apache Cordova уже выпустил исправленные версии фреймворка 4.0.2 (для пользователей Cordova 4.0.x и выше) и 3.7.2 (для пользователей более ранних версий Cordova).
От классики до авангарда — наука во всех жанрах