Die Lücke befindet sich in einer Cordova-Funktionalität, in der sekundäre Konfigurationsvariablen und Preferences aus Intent Bundles in der Basisaktivität gesetzt werden können. Falls diese Basisaktivität nicht ausreichend gesichert ist und die Preferences auf Default eingestellt sind, können Angreifer letztere sowie das Aussehen und Verhalten einer App ändern.
Trend Micro geht davon aus, dass nicht nur Apps, sondern auch Plugins von Drittanbietern für Apache Cordova gefährdet sind. Der japanische IT-Sicherheitsanbieter empfiehlt Entwicklern von Android-Apps, auf die aktuelle Version 4.0.2 des Cordova-Frameworks zu aktualisieren und nach einem Rebuild ein neues Release der App zu veröffentlichen.
Weitere Informationen
Weitere Informationen zur Sicherheitslücke CVE-2015-1835 sind im deutschen Trend Micro-Blog erhältlich.