Diese Informationen richten sich an Entwickler von Apps, die eine Version der Anzeigenplattform AdMarvel vor Versionsnummer 2.5.4 verwenden. Diese Versionen enthalten eine Sicherheitslücke und verstoßen gegen die Bestimmung der Inhaltsrichtlinien in Bezug auf gefährliche Produkte sowie gegen Absatz 4.4 der Vereinbarung für den Entwicklervertrieb. Aktualisieren Sie Ihre Apps so bald wie möglich auf die AdMarvel-Version 2.5.4 oder höher und erhöhen Sie die Versionsnummer des aktualisierten APK.
Aktuelle Informationen
Google Play blockiert seit dem 9. Mai 2016 die Veröffentlichung sämtlicher neuer Apps und Updates, die niedrigere Versionen als AdMarvel 2.5.4 verwenden. Weitere Informationen dazu finden Sie in der entsprechenden Nachricht in der Play Console. Nachdem die in der Play Console angezeigten Fristen abgelaufen sind, werden alle Apps, die nicht behobene Sicherheitslücken enthalten, aus Google Play entfernt.
Erforderliche Maßnahmen
- Melden Sie sich in der Play Console an und gehen Sie zum Bereich "Warnmeldungen". Dort sehen Sie, welche Apps betroffen sind und bis wann Sie diese Probleme beheben müssen.
- Aktualisieren Sie die betroffenen Apps und beseitigen Sie die Sicherheitslücke.
- Reichen Sie die aktualisierten Versionen Ihrer betroffenen Apps ein.
Nachdem Ihre App neu eingereicht wurde, wird sie noch einmal überprüft. Dieser Vorgang kann mehrere Stunden dauern. Wenn die App die Überprüfung besteht und veröffentlicht wird, sind keine weiteren Maßnahmen erforderlich. Falls die App die Überprüfung nicht besteht, wird die neue App-Version nicht veröffentlicht und Sie erhalten eine Benachrichtigung per E-Mail.
Weitere Details
Die Sicherheitslücke wurde in der AdMarvel-Version 2.5.4 behoben. Sie können die aktuellen Versionen des AdMarvel SDK über Ihr AdMarvel-Dashboard herunterladen. Die Versionsnummer finden Sie in der AdMarvelUtils-Klasse. Wenn Sie eine Bibliothek eines Drittanbieters verwenden, die AdMarvel enthält, müssen Sie ein Upgrade auf eine Version mit AdMarvel 2.5.4 oder höher ausführen.
Sollten Sie weitere Informationen benötigen, wenden Sie sich an den AdMarvel-Support unter der E-Mail-Adresse adsupport@admarvel.com. Sie können auch unter Angabe der Tags "android-security" und "AdMarvel" bei Stack Overflow posten.
Die Sicherheitslücke ist auf weniger strikte WebView-Einstellungen zurückzuführen, denen zufolge die Verwendung des booleschen Parameters setAllowUniversalAccessFromFileURLs explizit gewährt wird. Durch diese Sicherheitslücke kann ein Angreifer unter Umständen schädlichen JavaScript-Code in ein Werbe-Creative einfügen und so auf lokale Ressourcen auf den Geräten zugreifen. Sonstige technische Fragen können Sie bei Stack Overflow posten. Verwenden Sie dabei die Tags "android-security" und "AdMarvel".
Obwohl sich diese Probleme möglicherweise nicht auf alle Apps auswirken, in denen AdMarvel verwendet wird, ist es empfehlenswert, sämtliche Sicherheitspatches zu installieren. Apps mit Sicherheitslücken, durch die Nutzer zu Schaden kommen können, werden unter Umständen als gefährliche Produkte eingestuft, da sie gegen die Inhaltsrichtlinien und gegen Absatz 4.4 der Vereinbarung für den Entwicklervertrieb verstoßen.
Apps müssen auch der Vereinbarung für den Entwicklervertrieb und den Inhaltsrichtlinien entsprechen.
Hilfe und Support
Technische Fragen zu dieser Sicherheitslücke können Sie bei Stack Overflow posten. Bitte verwenden Sie dabei das Tag "android-security". Weitere Informationen zu den Maßnahmen, die zur Lösung dieses Problems erforderlich sind, erhalten Sie von unserem Entwicklersupportteam.