Google Play Apache Cordova Zafiyeti

Dün mailime gelen bir google maili ile konudan haberim oldu. Konu google playda yüklü olan Apache Cordova nın eski versiyonları ile programlanmış apkların zafiyet içerdiği ve bunun da ciddi şekilde bir XAS zafiyeti içerdiğini iletildi. Daha çok phonegap te yapılan uygulamalar da bu açığa rastlanmaktadır.


Bu yönüyle eğer sizinde google play de apache cordova 3.5.1 sürümü öncesi ile yazılan bir uygulamanız var ise bunun acilen yeni sürüm ile güncellemesini google tavsiye ediyor. Özellikle kullanıcı girişi içeren uygulamalar tehlike altında. Bu değişikliği yapmayan uygulamaların google play den kaldırılabileceği uyarısı yapılıyor.


Gelen detaylı mail ise şu şekildedir:


Apk files which is built on a version of Apache Cordova that contains security vulnerabilities. This includes a high severity cross-application scripting (XAS) vulnerability. Under certain circumstances, vulnerable apps could be remotely exploited to steal sensitive information, such as user login credentials.


You should upgrade to Apache Cordova 3.5.1 or higher as soon as possible. For more information about the vulnerabilities, and for guidance on upgrading Apache Cordova, please see

http://cordova.apache.org/announcements/2014/08/04/android-351.html.


Please note, applications with vulnerabilities that expose users to risk of compromise may be considered “dangerous products” and subject to removal from Google Play.
Regards,


Google Play Team

Bu dökümanlara da bakabilirsiniz:

- http://securityintelligence.com/apache-cordova-phonegap-vulnerability-android-banking-apps



"Google Play Apache Cordova Zafiyeti" Hakkında Kafanıza Takılanı Hemen Sorun

Çağrı Polat

Şu anda DEU Bilgisayar Mühendisliğinde Doktora yapmaktadır. " Kalıcı Gelişmiş Saldırılar ve Siber Güvenlik" üzerinde çalışmaktadır.


Bilgisayar Yüksek Mühendisidir. Ayrıca, Elektrik-Elektronik mühendisi ve İşletme bölümlerini bitirmiştir. Yüksek lisans tez konusu "kurumsal ağlarda sızma testleri ve önlemleri" idi.Akademik olarak da bilgi güvenliği üzerine çalışmaktadır.



Kariyerinin ilk yıllarında bilgi işlem sorumluluğu, sistem destek uzmanlığı yaptıktan sonra, IT manager, IT koordinator ve son 3 yılda da kurumsal firmalara bilgi güvenliği danışmanlığı yapmaktadır Yaklaşık 12 yıllık tecrübeye sahibidir.


9 uluslararası sınavda alınmış Microsoft sistem mühendisliği güvenlik sertifikasıyla birlikte, EC Council' den eğitim alarak CEH v9 sertifikasını almıştır. MCSE, CEH ve bilgi güvenliği başlıklarında bireysel ve kurumsal eğitimler ve seminerler vermektedir.


ISO27001:2013 BGYS konusunda baş denetçilik, eğitmenlik ve danışmanlık yapmaktadır. Ayrıca Bilirkişilik ve Kamulaştırma Bilirkişilik yetkilendirme belgesi sahibidir.