一鍵就會讓歹徒篡改Android App程式
【2015年6月4日台北訊】趨勢科技發現Apache Cordova 應用程式架構的一個漏洞,可能導致使用者只點選了一個網址、就遭歹徒篡改Android裝置上的App,不僅使用App時被干擾如完全當掉無法使用,數以千計的Apache Cordova第三方外掛程式也同樣有危險!趨勢科技呼籲Android應用程式開發人員,應立即將自己的Cordova開發套件升級至最新版本,並重新製作一份新版App,以防遭歹徒攻擊。趨勢科技的Smart Home Network解決方案已可以協助防堵此問題。
趨勢科技資深技術顧問簡勝財表示:「此問題已被趨勢科技列為高嚴重性問題,Apache Cordova 4.0.1 以前的所有版本都在影響之列,日前Apache也已經發布一份安全公告證實了這項漏洞。根據我們的研究顯示,若程式的Base Activity設定沒有受到適當的保護,而且偏好設定又使用預設值的話,那麼使用者就可能因為開啟程式內的一個網頁、或是已經植入手機的惡意程式,被修改這些偏好設定,進而改變App的外觀和運作方式。絕大多數以Cordova 為基礎所開發的App程式,都可能因為這個漏洞而遭到攻擊。」
簡勝財指出,使用 Cordova 開發的 App 程式和使用者可能受到下列影響:
- 程式外觀遭到篡改
- 遭人篡改彈出視窗和文字內容
- 遭人篡改程式開啟畫面
- 基本功能被篡改
- 程式當掉
此漏洞不僅影響 App 程式,而且數以千計的 Apache Cordova 第三方外掛程式也同樣有危險,尤其這些外掛的功能很仰賴偏好設定。
趨勢科技已將這項漏洞通報給Apache,而他們也針對這項漏洞發布了一份正式公告。我們建議Android 應用程式開發人員將自己的Cordova開發套件升級至最新版本 (4.0.2),然後重新製作一份新版程式,這樣就能防止 App 程式遭歹徒利用這項漏洞進行攻擊。
針對智慧家庭用戶,勢科技Smart Home Network「智慧家庭網路資安防護」解決方案,透過虛擬補丁,保護用戶在Android裝置中瀏覽網頁也不會因此弱點被侵害。目前華碩RT-AC56U、RT-AC68U、RT-AC87U、和RT-AC3200路由器皆已內建此方案,透過嚴謹的三階段(預防、保護、修復)資安防護功能,即時防範駭客透過此漏洞入侵用戶的行動裝置。
趨勢科技也在此次Computex展會,協同聯發科技展出Smart Home Network解決方案,將智慧資安防護、家長防護功能、以及智能頻寬管理等智慧家庭防護功能實作在聯發科技新款MT7623無線晶片上,為所有物聯網裝置提供全面的安全控管。
更多Apache Cordova漏洞事件詳細內容,請見http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-discovers-apache-vulnerability-that-allows-one-click-modification-of-android-apps/