Ostatnie wiadomości e-mail od obsługi sklepu z aplikacjami Google Play wzbudziły spore zaniepokojenie wśród części właścicieli i wydawców aplikacji dla systemu Android. Mail zawiera informację, że aplikacje mają błąd mogący stanowić lukę bezpieczeństwa i powinny być jak najszybciej zaktualizowane, w przeciwnym wypadku mogą zostać uznane przez Google za szkodliwe i usunięte ze sklepu. Nasza rada – lepiej nie ignorować tego e-maila, bo choć mało prawdopodobne jest, aby Google faktycznie usunęło aplikacje (robi to tylko w wyjątkowych sytuacjach), to jednak aplikacje powinny zostać uaktualnione z szacunku dla ich użytkowników.
Problem dotyczy wyłącznie aplikacji na Androida opartych na frameworku Apache Cordova. Jest to dość popularny silnik, wykorzystywany do budowy niezbyt skomplikowanych aplikacji mobilnych, udostępnianych na różnych systemach operacyjnych. Cordova ma tę zaletę (i naszym zdaniem wielu innych zalet nie ma), że aplikacja powstaje raz, a framework umożliwia jej stosunkowo łatwe przeportowanie na różne urządzenia, co pozwala ograniczać koszty – i w tym zapewe należy upatrywać sporej popularności tego rozwiązania. Skąd jednak to zamieszanie? Specjaliści IBM Security Systems odkryli w wydaniach Cordovy do wersji 3.5.0 lukę bezpieczeństwa, umożliwiającą przejęcie przez nieuprawnioną osobę kontroli nad telefonem, czy tabletem z Androidem. Wbrew alarmującemu tonowi maila od Google Play luka nie jest krytyczna, niemniej jednak istnieje. Apache zareagowało stosunkowo szybko i wydało uaktualnienie frameworka likwidujące problem. Nie oznacza to jednak, że aplikacje dostępne w Google Play automatycznie zostały zaktualizowane. Każda z nich wymaga ponownej kompilacji z użyciem nowej wersji Cordovy i ponownego przesłania pliku do sklepu Google, tak aby użytkownicy mogli pobrać aktualizację na swoje urządzenia.