Apache Cordova Android 3.5.1 更新
2014年8月6日
週一,我們發布了 Cordova Android 3.5.1,以解決幾個安全性問題。之後,與原始研究人員討論後,我們意識到發布的安全公告文字不太正確,因此我們已對其進行了修正。
您可以在這裡閱讀修正後的部落格文章。
CVE-2014-3502 中的問題是,Cordova 應用程式預設會將它們無法載入的任何 URL 傳遞給 Android intent 系統進行處理。這讓開發人員可以建構開啟電子郵件應用程式、地圖或傳送簡訊的 URL,甚至可以在系統瀏覽器中開啟網頁,但它也允許惡意 URL 可能會開啟裝置上的其他應用程式。這意味著,如果有人可以在您的應用程式中執行他們自己的 JavaScript,他們就可以使用裝置上的其他應用程式「回傳」使用者的資料。這就是為什麼我們建議所有 Android 開發人員升級到 Cordova 3.5.1 的原因。
為了不破壞現有的應用程式,Cordova 3.5.1 不允許明顯的惡意 URL,但仍會在預設應用程式中開啟 sms:、mailto: 或 geo: 等連結。(畢竟,這是一個有用的功能,並且有許多已發布的應用程式依賴這種行為。)如果您想進一步限制,可以使用 Cordova 外掛程式來自訂哪些 URL 可以載入,以及哪些 URL 將被完全封鎖。
作為一個非常簡單的範例,我發布了一個範例外掛程式,它可以阻止所有外部應用程式載入。要使用它,請像這樣安裝它
cordova plugin add net.iclelland.external-app-block
或者隨時從 GitHub 克隆它,並根據您的需求進行調整。
我們希望在下一個版本中將一個更靈活的解決方案內建到 Cordova 中,但在這段時間內,外掛程式系統功能足夠強大,可以讓您自行控制應用程式的此行為。