趨勢科技Smart Home Network智慧防堵Apache Cordova漏洞

趨勢科技發現 Apache Cordova 應用程式架構的一個漏洞，可能導致使用者只點選了一個網址、就遭歹徒篡改 Android 裝置上的 App，不僅使用 App 時被干擾如完全當掉無法使用，數以千計的 Apache Cordova 第三方外掛程式也同樣有危險！趨勢科技呼籲 Android 應用程式開發人員，應立即將自己的 Cordova 開發套件升級至最新版本，並重新製作一份新版 App，以防遭歹徒攻擊。趨勢科技的 Smart Home Network 解決方案已可以協助防堵此問題。

趨勢科技資深技術顧問簡勝財表示：「此問題已被趨勢科技列為高嚴重性問題，Apache Cordova 4.0.1 以前的所有版本都在影響之列，日前 Apache 也已經發布一份安全公告證實了這項漏洞。根據我們的研究顯示，若程式的 Base Activity 設定沒有受到適當的保護，而且偏好設定又使用預設值的話，那麼使用者就可能因為開啟程式內的一個網頁、或是已經植入手機的惡意程式，被修改這些偏好設定，進而改變 App 的外觀和運作方式。絕大多數以 Cordova 為基礎所開發的 App 程式，都可能因為這個漏洞而遭到攻擊。」

簡勝財指出，使用 Cordova 開發的 App 程式和使用者可能受到下列影響：

1. 程式外觀遭到篡改。
2. 遭人篡改彈出視窗和文字內容。
3. 遭人篡改程式開啟畫面。
4. 基本功能被篡改。
5. 程式當掉。

此漏洞不僅影響 App 程式，而且數以千計的 Apache Cordova 第三方外掛程式也同樣有危險，尤其這些外掛的功能很仰賴偏好設定。

趨勢科技已將這項漏洞通報給 Apache，而他們也針對這項漏洞發布了一份正式公告。我們建議 Android 應用程式開發人員將自己的 Cordova 開發套件升級至最新版本 (4.0.2)，然後重新製作一份新版程式，這樣就能防止 App 程式遭歹徒利用這項漏洞進行攻擊。

針對智慧家庭用戶，勢科技 Smart Home Network「智慧家庭網路資安防護」解決方案，透過虛擬補丁，保護用戶在 Android 裝置中瀏覽網頁也不會因此弱點被侵害。目前華碩 RT-AC56U、RT-AC68U、RT-AC87U、和 RT-AC3200 路由器皆已內建此方案，透過嚴謹的三階段 (預防、保護、修復) 資安防護功能，即時防範駭客透過此漏洞入侵用戶的行動裝置。

趨勢科技也在此次 Computex 展會，協同聯發科技展出 Smart Home Network 解決方案，將智慧資安防護、家長防護功能、以及智能頻寬管理等智慧家庭防護功能實作在聯發科技新款 MT7623 無線晶片上，為所有物聯網裝置提供全面的安全控管。

更多 Apache Cordova 漏洞事件詳細內容，請見
http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-discovers-apache-vulnerability-that-allows-one-click-modification-of-android-apps/

水杉而 於 2015-06-04 16:29:09 修改文章內容