Apache爆漏洞 一鍵就能竄改Android程式
趨勢科技發現Apache Cordova應用程式架構的一個漏洞,可能導致使用者只點選了一個網址、就遭歹徒篡改Android裝置上的App,不僅使用App時被干擾如完全當掉無法使用,數以千計的Apache Cordova第三方外掛程式也同樣有危險!趨勢科技呼籲Android應用程式開發人員,應立即將自己的Cordova開發套件升級至最新版本,並重新製作一份新版App,以防遭歹徒攻擊。趨勢科技的Smart Home Network解決方案已可以協助防堵此問題。
趨勢科技資深技術顧問簡勝財表示:「此問題已被趨勢科技列為高嚴重性問題,Apache Cordova 4.0.1 以前的所有版本都在影響之列,日前Apache也已經發布一份安全公告證實了這項漏洞」。
簡勝財說,據研究顯示,若程式的Base Activity設定沒有受到適當的保護,而且偏好設定又使用預設值的話,那麼使用者就可能因為開啟程式內的一個網頁、或是已經植入手機的惡意程式,被修改這些偏好設定,進而改變App的外觀和運作方式。絕大多數以Cordova 為基礎所開發的App程式,都可能因為這個漏洞而遭到攻擊。
簡勝財指出,使用Cordova 開發的App 程式和使用者可能受到「程式外觀遭到篡改」、「遭人篡改彈出視窗和文字內容」、「遭人篡改程式開啟畫面」、「基本功能被篡改」,以及「程式當掉」等影響。
此漏洞不僅影響App 程式,而且數以千計的Apache Cordova 第三方外掛程式也同樣有危險,尤其這些外掛的功能很仰賴偏好設定。
趨勢科技已將這項漏洞通報給Apache,而他們也針對這項漏洞發布了一份正式公告。趨勢也建議Android 應用程式開發人員將自己的Cordova開發套件升級至最新版本,然後重新製作一份新版程式,這樣就能防止App 程式遭歹徒利用這項漏洞進行攻擊。◇