mögliche Android App Verwundbarkeit erkannt

[michael p]

In English aber nichtstestotrotz interessant:

Summary: A serious security flaw discovered in the Apache Cordova developer framework could allow for malicious injections into Android apps.

http://www.zdnet.com/article/securi...=nl.e539&s_cid=e539&ttag=e539&ftag=TRE17cfd61

 

[Helios]

Interessant. Danke für die Info.

Frage. Wie kann ich herausfinden, welche App Cordova-basiert ist? Gibt es da zum Beispiel eine App, welche dies ersichtlich macht?


LG Uwe

 

[diwo]

... Wie kann ich herausfinden, welche App Cordova-basiert ist? ...

LG Uwe

Das täte mich auch interessieren ..

 

[Helios]

Eine einfache App scheint es, zumindest derzeit, nicht zu geben, welche die anderen Apps auf die aufgeführten Sicherheitslücken scannen kann.

Eine eventuelle Möglichkeit bestünde darin, den Binärcode der Apps auf Merkmale von Cordova-basiertem Code zu untersuchen. Rootrechte werden dann natürlich benötigt. Auch lässt sich vielfach aus dem Binärcode Rückschlüsse auf den verwendeten Compiler ziehen. Ist aber eben aufwendig.

 

[tapf!]

Cordova-Apps bestehen ja aus einer HTML5-Anwendung, die in einem nativen Container innerhalb eines WebViews ausgeführt wird. Diese WebView kann man über den PC-Browser debuggen (Chrome / Safari) und so erkennen ob mittels Cordova gebaut wurde oder nicht. Unter iOS aktiviert man einfach Debugging in den Safari-Einstellungen und findet gestartete Anwendungen mit WebView dann einfach im Developer Menu des Desktop-Safaris. Für Android müsste das mit Chrome relativ ähnlich gehen, da habe ich bislang aber noch keine Erfahrungen.

EDIT: Gerade mal geschaut, lt. https://github.com/phonegap/phonegap/wiki/Debugging-in-PhoneGap geht das erst ab Cordova 3.3 und muss auch im Manifest aktiviert sein

Interessant wäre auch zu wissen, ob diese Lücke auch das auf Cordova basierende IBM Worklight bzw. IBM Mobile Foundation betrifft.

Grüße

Fabian