La creación de aplicaciones Android se encuentra en pleno auge y son muchos los usuarios que se han lanzado a crear una por simple que sea. Existen una gran cantidad de herramientas y Apache Cordova es una de estas. La automatización de la conversión del código es una de sus armas que ahora se ha vuelto en su contra.
Para todos aquellos que no conozcan el mecanismo, consiste en crear una aplicación web con los archivos HTML, PHP o CSS y este software se encarga de traducir el código, compilarlo y generar un .apk que se puede instalar en los terminales móviles o tabletas. La carga de trabajo que tiene que soportar el usuario a la hora de realizar la conversión es mínima, pero en realidad los expertos en seguridad sabían que era cuestión de tiempo de que se encontrase un problema.
La aplicación no solo sirve para convertir aplicaciones web a Android: iOS, Blackberry o Windows Phone son otros de los sistemas operativos compatibles.
El atacante puede modificar los parámetros de la aplicación generada con Apache Cordova
Tal y como se puede ver en el vídeo que exponemos a continuación, la posibilidad de realizar la modificación del archivo de configuración de la aplicación, provocando que se puedan mostrar ventanas emergentes.
Sin embargo, desde Apache se han puesto manos a la obra desde el mismo momento en que han tenido conocimiento del fallo de seguridad y ya han publicado la versión 4.0.2 y 3.7.2 que permiten mitigar el comportamiento descrito con anterioridad. La actualización elimina la posibilidad de modificar el archivo config.xml de las aplicaciones generadas.
Fuente:https://www.redeszone.net/
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad