一鍵就會讓歹徒篡改Android App程式,如何運作?(含影片)

趨勢科技發現 Apache Cordova 應用程式框架存在一個漏洞,攻擊者只要透過點擊網址就能修改應用程式的行為。修改範圍從干擾應用程式使用者到徹底讓應用程式崩潰都有可能。

這個編號為CVE-2015-1835的高危險漏洞影響Apache Cordova 4.0.1以下的所有版本。Apache已經發布一個安全公告確認此漏洞。這代表著大多數基於Cordova的應用程式(佔 Google Play上所有應用程式的5.6%)都可能受此漏洞影響。

pache Cordova

該漏洞被存在於Cordova的一個功能內,讓Secondary Configuration Variables(也就是偏好設定)可以由Base Activity的Intent Bundles設定。此功能是Apache在2010年11月所發布程式碼更新(也就是Github的提交)的一部分,Cordova Android也更新為0.9.3。

我們的研究顯示,如果Base Activity沒有被適當的防護且偏好設定設成預設值,攻擊者可以改動偏好設定和和竄改應用程式本身的外觀和行為。

漏洞攻擊成功的先決條件

只要符合兩個條件就能成功地利用此漏洞:

  • 應用程式至少有一個元件延伸自Cordova的Base Activity:CordovaActivity或設定Cordova框架(像java)沒有被適當的防護,也就是說可以被應用程式外部存取。
  • 至少一個Cordova支援的偏好設定(除了LogLevel的和ErrorUrl)未在設定檔案(xml)中被定義。

 

它如何運作

要了解該漏洞如何運作,要先來看看應用程式的偏好設定如何設置。 繼續閱讀

一鍵就會讓歹徒篡改Android App程式!

趨勢科技發現Apache Cordova 應用程式架構的一個漏洞,可能導致使用者只點選了一個網址、就遭歹徒篡改Android裝置上的App,不僅使用App時被干擾如完全當掉無法使用,數以千計的Apache Cordova第三方外掛程式也同樣有危險!趨勢科技呼籲Android應用程式開發人員,應立即將自己的Cordova開發套件升級至最新版本,並重新製作一份新版App,以防遭歹徒攻擊。趨勢科技的Smart Home Network解決方案已可以協助防堵此問題。

Android 病毒

 

趨勢科技資深技術顧問簡勝財表示:「此問題已被趨勢科技列為高嚴重性問題,Apache Cordova 4.0.1 以前的所有版本都在影響之列,日前Apache也已經發布一份安全公告證實了這項漏洞。根據我們的研究顯示,若程式的Base Activity設定沒有受到適當的保護,而且偏好設定又使用預設值的話,那麼使用者就可能因為開啟程式內的一個網頁、或是已經植入手機的惡意程式,被修改這些偏好設定,進而改變App的外觀和運作方式。絕大多數以Cordova 為基礎所開發的App程式,都可能因為這個漏洞而遭到攻擊。」

簡勝財指出,使用 Cordova 開發的 App 程式和使用者可能受到下列影響:

  1. 程式外觀遭到篡改
  2. 遭人篡改彈出視窗和文字內容
  3. 遭人篡改程式開啟畫面
  4. 基本功能被篡改
  5. 程式當掉

繼續閱讀