Cordova Uygulamaları

Reading time: 7 minutes

Daha fazla detay için https://infosecwriteups.com/recreating-cordova-mobile-apps-to-bypass-security-implementations-8845ff7bdc58. Bu bir özet:

Apache Cordova, JavaScript, HTML ve CSS kullanarak hibrit uygulamaların geliştirilmesini sağladığı için tanınmaktadır. Android ve iOS uygulamalarının oluşturulmasına olanak tanır; ancak, uygulamanın kaynak kodunu güvence altına almak için varsayılan bir mekanizma sunmamaktadır. React Native'in aksine, Cordova varsayılan olarak kaynak kodunu derlemez, bu da kod değiştirme zafiyetlerine yol açabilir. Cordova, uygulamaları render etmek için WebView kullanır ve HTML ile JavaScript kodunu, APK veya IPA dosyalarına derlendikten sonra bile açığa çıkarır. React Native ise, JavaScript kodunu çalıştırmak için bir JavaScript VM kullanarak daha iyi kaynak kodu koruması sunar.

Cordova Uygulamasını Klonlama

Bir Cordova uygulamasını klonlamadan önce, NodeJS'in yanı sıra Android SDK, Java JDK ve Gradle gibi diğer ön koşulların yüklü olduğundan emin olun. Resmi Cordova belgeleri, bu kurulumlar için kapsamlı bir kılavuz sunmaktadır.

com.android.bank paket adına sahip Bank.apk adlı bir örnek uygulamayı düşünün. Kaynak koda erişmek için bank.apk dosyasını açın ve bank/assets/www klasörüne gidin. Bu klasör, uygulamanın HTML ve JS dosyaları da dahil olmak üzere tam kaynak kodunu içerir. Uygulamanın yapılandırması bank/res/xml/config.xml dosyasında bulunabilir.

Uygulamayı klonlamak için bu adımları izleyin:

npm install -g cordova@latest
cordova create bank-new com.android.bank Bank
cd bank-new

bank/assets/www içeriğini bank-new/www dizinine kopyalayın, cordova_plugins.js, cordova.js, cordova-js-src/ ve plugins/ dizinini hariç tutarak.

Yeni bir Cordova projesi oluştururken platformu (Android veya iOS) belirtin. Bir Android uygulamasını klonlarken Android platformunu ekleyin. Cordova'nın platform sürümleri ve Android API seviyeleri farklıdır. Platform sürümleri ve desteklenen Android API'leri hakkında ayrıntılar için Cordova documentation sayfasına bakın.

Uygun Cordova Android platform sürümünü belirlemek için, orijinal uygulamanın cordova.js dosyasındaki PLATFORM_VERSION_BUILD_LABEL değerini kontrol edin.

Platformu kurduktan sonra, gerekli eklentileri yükleyin. Orijinal uygulamanın bank/assets/www/cordova_plugins.js dosyası tüm eklentileri ve sürümlerini listeler. Aşağıda gösterildiği gibi her eklentiyi ayrı ayrı yükleyin:

cd bank-new
cordova plugin add cordova-plugin-dialogs@2.0.1

Eğer bir eklenti npm'de mevcut değilse, GitHub'dan temin edilebilir:

cd bank-new
cordova plugin add https://github.com/moderna/cordova-plugin-cache.git

Tüm ön koşulların derlemeden önce karşılandığından emin olun:

cd bank-new
cordova requirements

APK oluşturmak için aşağıdaki komutu kullanın:

cd bank-new
cordova build android — packageType=apk

Bu komut, hata ayıklama seçeneği etkinleştirilmiş bir APK oluşturur ve Google Chrome üzerinden hata ayıklamayı kolaylaştırır. Uygulama, kod değiştirme tespit mekanizmaları içeriyorsa, kurulumdan önce APK'nın imzalanması kritik öneme sahiptir.

Otomasyon Aracı

Klonlama sürecini otomatikleştirmek isteyenler için, MobSecco önerilen bir araçtır. Android uygulamalarının klonlanmasını kolaylaştırarak yukarıda belirtilen adımları basitleştirir.

Güvenlik Riskleri & Son Zafiyetler (2023-2025)

Cordova'nın eklenti tabanlı mimarisi, saldırı yüzeyinin çoğunun üçüncü taraf eklentiler ve WebView köprüsü içinde yer aldığı anlamına gelir. Son birkaç yılda aktif olarak istismar edilen veya kamuya açıklanan aşağıdaki sorunlar bulunmaktadır:

• Kötü Amaçlı NPM Paketleri. Temmuz 2024'te cordova-plugin-acuant paketi, kurulum sırasında kötü amaçlı kod bıraktığı keşfedildikten sonra NPM kayıt defterinden kaldırıldı (OSV-ID MAL-2024-7845). npm install cordova-plugin-acuant komutunu çalıştıran herhangi bir geliştirici makinesi tehlikeye girmiş sayılmalıdır. Beklenmedik Cordova eklentileri için package.json/package-lock.json dosyalarını denetleyin ve güvenilir sürümleri sabitleyin. OSV advisory
• Doğrulanmamış Derin Bağlantılar → XSS/RCE. CleverTap Cordova Plugin ≤ 2.6.2 (CVE-2023-2507), derin bağlantı girişini temizlemekte başarısızdır ve bir saldırganın, oluşturulmuş bir bağlantı açıldığında ana WebView bağlamında çalışan rastgele JavaScript enjekte etmesine olanak tanır. ≥ 2.6.3 sürümüne güncelleyin veya güvenilmeyen URI parametrelerini çalışma zamanında kaldırın. CVE-2023-2507
• Güncel Olmayan Platform Kodu. cordova-android ≤ 12, targetSdk 33 veya daha düşük ile gelir. Mayıs 2024 itibarıyla Google Play, API 34 gerektirecek ve birkaç WebView güçlendirme özelliği (örneğin, bileşenler için otomatik olarak oluşturulan exported="false") yalnızca API 34+’te mevcuttur. cordova-android@13.0.0 veya daha yenisine yükseltin.

Pentest sırasında hızlı kontroller

1. Decompiled AndroidManifest.xml içinde android:debuggable="true" arayın. Hata ayıklanabilir yapılar, chrome://inspect üzerinden WebView'i açarak tam JS enjekte edilmesine olanak tanır.
2. config.xml dosyasını, aşırı izin veren <access origin="*"> etiketleri veya www/index.html içinde eksik CSP meta etiketleri için gözden geçirin.
3. www/ içinde eval(, new Function( veya CSP bypass'larını XSS'e dönüştürebilecek dinamik olarak oluşturulmuş HTML için grep yapın.
4. plugins/ içinde gömülü eklentileri tanımlayın ve bilinen CVE'leri bulmak için npm audit --production veya osv-scanner --lockfile komutunu çalıştırın.

Dinamik Analiz İpuçları

Uzaktan WebView Hata Ayıklama

Uygulama debug modunda derlenmişse (veya açıkça WebView.setWebContentsDebuggingEnabled(true) çağrılıyorsa), Chrome DevTools'u bağlayabilirsiniz:

adb forward tcp:9222 localabstract:chrome_devtools_remote
google-chrome --new-window "chrome://inspect/#devices"

Bu, size canlı bir JavaScript konsolu, DOM denetleyicisi ve çalışma zamanında JavaScript işlevlerini geçersiz kılma yeteneği sağlar - istemci tarafı mantığını aşmak için son derece kullanışlıdır. (Daha fazla ayrıntı için Google'ın resmi belgelerine bakın.)

Frida ile JS ⇄ Native köprüsünü bağlama

Çoğu eklentinin Java tarafındaki giriş noktası org.apache.cordova.CordovaPlugin.execute(...)'dir. Bu yöntemi bağlamak, JavaScript'ten yapılan çağrıları izleme veya müdahale etme olanağı tanır:

// frida -U -f com.vulnerable.bank -l hook.js --no-pause
Java.perform(function () {
var CordovaPlugin = Java.use('org.apache.cordova.CordovaPlugin');
CordovaPlugin.execute.overload('java.lang.String','org.json.JSONArray','org.apache.cordova.CallbackContext').implementation = function(act, args, ctx) {
console.log('[Cordova] ' + act + ' => ' + args);
// Tamper the first argument of a sensitive action
if (act === 'encrypt') {
args.put(0, '1234');
}
return this.execute(act, args, ctx);
};
});

Güçlendirme Önerileri (2025)

• En son platforma güncelleyin: cordova-android@13 (Mayıs 2024) API 34'ü hedefler ve yeni WebView önlemleri getirir.
• Hata ayıklama kalıntılarını kaldırın: android:debuggable="false" olduğundan emin olun ve yayın sürümlerinde setWebContentsDebuggingEnabled çağrısından kaçının.
• Sıkı bir CSP ve AllowList uygulayın: Her HTML dosyasına <meta http-equiv="Content-Security-Policy" ...> etiketi ekleyin ve config.xml içinde <access> kökenlerini kısıtlayın. Örnek minimal CSP, satır içi betikleri engeller:

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src 'self' data:; object-src 'none'; frame-ancestors 'none'">

• Açık metin trafiğini devre dışı bırakın: AndroidManifest.xml içinde android:usesCleartextTraffic="false" ayarlayın ve/veya TLS'yi zorlayan bir [network-security-config] sağlayın.
• Eklenti hijyeni:
• Eklenti sürümlerini npm ci ile sabitleyin ve oluşturulan package-lock.json dosyasını taahhüt edin.
• Periyodik olarak npm audit, osv-scanner veya cordova-check-plugins çalıştırın.
• Obfuscation: JavaScript'i Terser/UglifyJS ile küçültün ve üretim sürümlerinden kaynak haritalarını kaldırarak sıradan tersine mühendisliği yavaşlatın.

Referanslar

• Apache Cordova – Cordova-Android 13.0.0 sürüm notları (Mayıs 2024)
• OSV-ID MAL-2024-7845 – cordova-plugin-acuant içindeki kötü niyetli kod
• CVE-2023-2507 – CleverTap Cordova Eklentisi derin bağlantı XSS