Apache Software FoundationのApache Cordovaに不正なコードを含むリンクをクリックしてWebページを閲覧することによりアプリの動作が改ざんされる脆弱性が存在するのをトレンドマイクロが確認した。この影響を受けるのはApache Cordova バージョン 4.0.1.とそれ以前の全バージョンで、Google Playの全アプリの5.6%にこの脆弱性が含まれている。この攻撃が成功するにはCordovaフレームワークを設定した Cordovaの基本のActivityから拡張したアプリのコンポーネントの1つ以上が適切に保護されずアプリ外部からアクセスできることと、Cordova がサポートする preferenceの中の1つが環境設定ファイル “config.xml” で定義されていないことが条件となるが、多くのアプリがこの条件を満たしていることから、悪用される可能性が高い。この脆弱性の利用によりアプリの外観の変更、ポップアップ表示やメッセージの挿入、スプラッシュスクリーンの挿入、基本機能の変更、アプリの機能不全などの影響を受ける可能性がある。解決策として、Apache Cordova Android 4.0.2と3.7.2が公開されており、アップデートによりこの脆弱性は解消される。
