Cordova Apps

Для отримання додаткової інформації перегляньте https://infosecwriteups.com/recreating-cordova-mobile-apps-to-bypass-security-implementations-8845ff7bdc58. Це резюме:

Apache Cordova відомий тим, що дозволяє розробку гібридних додатків за допомогою JavaScript, HTML та CSS. Він дозволяє створювати додатки для Android та iOS; однак, у нього немає стандартного механізму для захисту вихідного коду додатка. На відміну від React Native, Cordova за замовчуванням не компілює вихідний код, що може призвести до вразливостей через підробку коду. Cordova використовує WebView для рендерингу додатків, що відкриває HTML та JavaScript код навіть після компіляції в APK або IPA файли. React Native, навпаки, використовує JavaScript VM для виконання JavaScript коду, що забезпечує кращий захист вихідного коду.

Клонування Cordova Додатку

Перед клонуванням Cordova додатку переконайтеся, що NodeJS встановлено разом з іншими передумовами, такими як Android SDK, Java JDK та Gradle. Офіційна документація Cordova документація надає всебічний посібник для цих установок.

Розгляньте приклад додатку з назвою Bank.apk з ім'ям пакету com.android.bank. Щоб отримати доступ до вихідного коду, розпакуйте bank.apk і перейдіть до папки bank/assets/www. Ця папка містить повний вихідний код додатку, включаючи HTML та JS файли. Конфігурацію додатку можна знайти в bank/res/xml/config.xml.

Щоб клонувати додаток, виконайте ці кроки:

npm install -g cordova@latest
cordova create bank-new com.android.bank Bank
cd bank-new

Скопіюйте вміст bank/assets/www до bank-new/www, виключаючи cordova_plugins.js, cordova.js, cordova-js-src/ та директорію plugins/.

Вкажіть платформу (Android або iOS) при створенні нового проекту Cordova. Для клонування Android-додатку додайте платформу Android. Зверніть увагу, що версії платформ Cordova та рівні API Android є різними. Ознайомтеся з документацією Cordova documentation для отримання деталей про версії платформ та підтримувані API Android.

Щоб визначити відповідну версію платформи Cordova Android, перевірте PLATFORM_VERSION_BUILD_LABEL у файлі cordova.js оригінального додатку.

Після налаштування платформи встановіть необхідні плагіни. Файл bank/assets/www/cordova_plugins.js оригінального додатку містить список усіх плагінів та їх версій. Встановіть кожен плагін окремо, як показано нижче:

cd bank-new
cordova plugin add cordova-plugin-dialogs@2.0.1

Якщо плагін недоступний на npm, його можна отримати з GitHub:

cd bank-new
cordova plugin add https://github.com/moderna/cordova-plugin-cache.git

Переконайтеся, що всі попередні вимоги виконані перед компіляцією:

cd bank-new
cordova requirements

Щоб створити APK, використовуйте наступну команду:

cd bank-new
cordova build android — packageType=apk

Ця команда генерує APK з увімкненою опцією налагодження, що полегшує налагодження через Google Chrome. Важливо підписати APK перед установкою, особливо якщо додаток містить механізми виявлення підробки коду.

Інструмент автоматизації

Для тих, хто прагне автоматизувати процес клонування, MobSecco є рекомендованим інструментом. Він спрощує клонування Android-додатків, спрощуючи кроки, описані вище.

Ризики безпеки та недавні вразливості (2023-2025)

Архітектура на основі плагінів Cordova означає, що більшість поверхні атаки знаходиться всередині сторонніх плагінів і моста WebView. Наступні проблеми активно експлуатувалися або були публічно розкриті в останні кілька років:

• Зловмисні пакети NPM. У липні 2024 року пакет cordova-plugin-acuant був видалений з реєстру NPM після того, як було виявлено, що він завантажує зловмисний код під час установки (OSV-ID MAL-2024-7845). Будь-яка розробницька машина, яка виконала npm install cordova-plugin-acuant, повинна вважатися скомпрометованою. Аудит package.json/package-lock.json на наявність несподіваних плагінів Cordova та закріплення довірених версій. OSV advisory
• Невалідовані глибокі посилання → XSS/RCE. CleverTap Cordova Plugin ≤ 2.6.2 (CVE-2023-2507) не очищає вхідні дані глибоких посилань, що дозволяє зловмиснику впроваджувати довільний JavaScript, який виконується в основному контексті WebView, коли відкривається підготовлене посилання. Оновіть до ≥ 2.6.3 або видаліть недовірені параметри URI під час виконання. CVE-2023-2507
• Застарілий код платформи. cordova-android ≤ 12 постачається з targetSdk 33 або нижче. Починаючи з травня 2024 року, Google Play вимагає API 34, і кілька функцій зміцнення WebView (наприклад, автоматично згенероване exported="false" для компонентів) присутні лише в API 34+. Оновіть до cordova-android@13.0.0 або пізніше.

Швидкі перевірки під час пентесту

1. Шукайте android:debuggable="true" у декомпільованому AndroidManifest.xml. Налагоджувані збірки відкривають WebView через chrome://inspect, що дозволяє повну ін'єкцію JS.
2. Перегляньте config.xml на наявність надто дозволяючих тегів <access origin="*"> або відсутніх CSP мета-тегів у www/index.html.
3. Використовуйте grep www/ для eval(, new Function( або динамічно збудованого HTML, що може перетворити обходи CSP на XSS.
4. Визначте вбудовані плагіни в plugins/ і запустіть npm audit --production або osv-scanner --lockfile, щоб знайти відомі CVE.

Поради з динамічного аналізу

Віддалене налагодження WebView

Якщо додаток був скомпільований у debug режимі (або явно викликає WebView.setWebContentsDebuggingEnabled(true)), ви можете підключити Chrome DevTools:

adb forward tcp:9222 localabstract:chrome_devtools_remote
google-chrome --new-window "chrome://inspect/#devices"

Це надає вам живу консоль JavaScript, інспектор DOM та можливість переписувати функції JavaScript під час виконання – надзвичайно зручно для обходу логіки на стороні клієнта. (Дивіться офіційну документацію Google для отримання додаткової інформації.)

Підключення моста JS ⇄ Native за допомогою Frida

Точка входу на стороні Java більшості плагінів – org.apache.cordova.CordovaPlugin.execute(...). Підключення цього методу дозволяє вам контролювати або змінювати виклики, зроблені з JavaScript:

// frida -U -f com.vulnerable.bank -l hook.js --no-pause
Java.perform(function () {
var CordovaPlugin = Java.use('org.apache.cordova.CordovaPlugin');
CordovaPlugin.execute.overload('java.lang.String','org.json.JSONArray','org.apache.cordova.CallbackContext').implementation = function(act, args, ctx) {
console.log('[Cordova] ' + act + ' => ' + args);
// Tamper the first argument of a sensitive action
if (act === 'encrypt') {
args.put(0, '1234');
}
return this.execute(act, args, ctx);
};
});

Рекомендації щодо зміцнення (2025)

• Оновіть до останньої платформи: cordova-android@13 (травень 2024) націлений на API 34 і приносить нові заходи захисту WebView.
• Видаліть артефакти налагодження: Переконайтеся, що android:debuggable="false" і уникайте виклику setWebContentsDebuggingEnabled у випускних збірках.
• Забезпечте сувору CSP та AllowList: Додайте тег <meta http-equiv="Content-Security-Policy" ...> у кожному HTML-файлі та обмежте походження <access> у config.xml. Приклад мінімальної CSP, яка блокує вбудовані скрипти:

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src 'self' data:; object-src 'none'; frame-ancestors 'none'">

• Вимкніть трафік у відкритому тексті: У AndroidManifest.xml встановіть android:usesCleartextTraffic="false" та/або надайте [network-security-config], який забезпечує TLS.
• Гігієна плагінів:
• Закріпіть версії плагінів за допомогою npm ci та зафіксуйте згенерований package-lock.json.
• Періодично запускайте npm audit, osv-scanner або cordova-check-plugins.
• Обфускація: Мінімізуйте JavaScript за допомогою Terser/UglifyJS та видаліть карти джерел з виробничих збірок, щоб сповільнити випадкове реверсування.

Посилання

• Apache Cordova – примітки до випуску Cordova-Android 13.0.0 (травень 2024)
• OSV-ID MAL-2024-7845 – Шкідливий код у cordova-plugin-acuant
• CVE-2023-2507 – CleverTap Cordova Plugin deeplink XSS