IBMのセキュリティ研究開発チームX-Forceが、「Apache Cordova」(旧名「PhoneGap」)プラットフォームを用いてビルドされた多くの「Android」向けアプリに影響を与える深刻な脆弱性を発見したと発表した。AppBrainの統計によると、この脆弱性はAndroidアプリの5.8%に影響を及ぼすという。広く普及しているAndroidアプリのいくつかはCordovaを用いてビルドされており、研究者らが「bank」(銀行)というキーワードを含む248本のアプリを調査したところ、25本のアプリ(およそ10%)がCordovaを使用してビルドされていたという。
Cordovaを用いたAndroidアプリを使っているユーザーは、こうしたアプリを通じてログイン認証などの個人情報を抜き取られることで、なりすましの被害にあったり、口座情報にアクセスされたり、勝手に物品を購入されるというリスクにさらされる。
X-Forceは、この脆弱性を公表する前にCordova開発チームにその存在を報告しており、現在はパッチの当たった最新のCordovaバージョン3.5.1が提供されている。
Apache Cordovaの脆弱性によって、クロスアプリケーションスクリプティング、すなわちCordovaを用いて開発されたアプリ内で悪意のあるJavaScriptコードの実行が可能になる。これに加えて、Cordova内で今回発見されたその他の脆弱性により、こういったコードを用いて情報を攻撃者の元に送り返すこともできる。
X-Forceは、すべての開発者が最新のCordova バージョン(3.5.1)にアップデートし、ホワイトペーパーで解説されている回避策を実施するよう強く推奨している。
