Apache爆漏洞 一鍵就能竄改Android程式

趨勢科技發現Apache Cordova應用程式架構的一個漏洞，可能導致使用者只點選了一個網址、就遭歹徒篡改Android裝置上的App，不僅使用App時被干擾如完全當掉無法使用，數以千計的Apache Cordova第三方外掛程式也同樣有危險！趨勢科技呼籲Android應用程式開發人員，應立即將自己的Cordova開發套件升級至最新版本，並重新製作一份新版App，以防遭歹徒攻擊。趨勢科技的Smart Home Network解決方案已可以協助防堵此問題。

趨勢科技資深技術顧問簡勝財表示：「此問題已被趨勢科技列為高嚴重性問題，Apache Cordova 4.0.1 以前的所有版本都在影響之列，日前Apache也已經發布一份安全公告證實了這項漏洞」。

簡勝財說，據研究顯示，若程式的Base Activity設定沒有受到適當的保護，而且偏好設定又使用預設值的話，那麼使用者就可能因為開啟程式內的一個網頁、或是已經植入手機的惡意程式，被修改這些偏好設定，進而改變App的外觀和運作方式。絕大多數以Cordova 為基礎所開發的App程式，都可能因為這個漏洞而遭到攻擊。

簡勝財指出，使用Cordova 開發的App 程式和使用者可能受到「程式外觀遭到篡改」、「遭人篡改彈出視窗和文字內容」、「遭人篡改程式開啟畫面」、「基本功能被篡改」，以及「程式當掉」等影響。

此漏洞不僅影響App 程式，而且數以千計的Apache Cordova 第三方外掛程式也同樣有危險，尤其這些外掛的功能很仰賴偏好設定。

趨勢科技已將這項漏洞通報給Apache，而他們也針對這項漏洞發布了一份正式公告。趨勢也建議Android 應用程式開發人員將自己的Cordova開發套件升級至最新版本，然後重新製作一份新版程式，這樣就能防止App 程式遭歹徒利用這項漏洞進行攻擊。◇