Esta información va dirigida a los desarrolladores de aplicaciones que utilizan cualquier versión de la plataforma publicitaria AdMarvel anterior a la versión 2.5.4. Estas versiones contienen una vulnerabilidad de seguridad e infringen la disposición sobre productos peligrosos de la política de contenido y la sección 4.4 del Acuerdo de Distribución para Desarrolladores. Migra tus aplicaciones a AdMarvel v2.5.4 o una versión posterior lo antes posible e incrementa el número de versión de los APK actualizados.
¿Qué va a cambiar?
El 9 de mayo del 2016, Google Play empezó a bloquear la publicación de aplicaciones y actualizaciones que usaban versiones de AdMarvel anteriores a la 2.5.4. Consulta el aviso en Play Console. Una vez que finalice el plazo indicado en Play Console, es posible que las aplicaciones que contengan vulnerabilidades de seguridad sin corregir se retiren de Google Play.
Acción necesaria
- Inicia sesión en Play Console y ve a la sección Alertas para consultar qué aplicaciones están afectadas y las fechas límite para resolver estos problemas.
- Actualiza las aplicaciones afectadas y corrige la vulnerabilidad.
- Envía las versiones actualizadas de las aplicaciones afectadas.
Cuando vuelvas a enviar tus aplicaciones, se revisarán de nuevo. Este proceso puede tardar varias horas en completarse. Si una aplicación supera el proceso de revisión y se publica, no tendrás que hacer nada más. Si no lo supera, la nueva versión de la aplicación no se publicará y recibirás una notificación por correo electrónico.
Información adicional
La vulnerabilidad se solucionó en la versión 2.5.4 de AdMarvel. Puedes descargar las últimas versiones del SDK de AdMarvel en el panel de AdMarvel. Para confirmar el número de versión, comprueba la clase de AdMarvelUtils. Si utilizas una biblioteca externa que incluya AdMarvel, debes actualizarla a una versión con AdMarvel 2.5.4 o versiones posteriores.
Si necesitas más información, ponte en contacto con el equipo de asistencia de AdMarvel a través de la dirección adsupport@admarvel.com o publica una pregunta en Stack Overflow usando las etiquetas "android‑security" y "AdMarvel".
La vulnerabilidad se debe a la configuración permisiva de WebView, que habilita de forma explícita el indicador booleano setAllowUniversalAccessFromFileURLs. Es posible que un atacante pueda aprovechar esta vulnerabilidad para proporcionar un código JavaScript malicioso en una creatividad de publicidad y acceder a recursos locales en los dispositivos. Si tienes alguna otra pregunta técnica, puedes publicarla en Stack Overflow y utilizar las etiquetas "android‑security" y "AdMarvel".
Aunque es posible que estos problemas específicos no afecten a todas las aplicaciones que utilicen AdMarvel, te recomendamos que mantengas todos los parches de seguridad actualizados. Las aplicaciones con vulnerabilidades que suponen un riesgo para la seguridad de los usuarios se pueden considerar productos peligrosos que infringen la política de contenido y la sección 4.4 del Acuerdo de Distribución para Desarrolladores.
Asimismo, las aplicaciones deben cumplir el Acuerdo de Distribución para Desarrolladores y la política de contenido.
Queremos ayudarte
Si tienes alguna pregunta técnica sobre esta vulnerabilidad, puedes publicarla en Stack Overflow con la etiqueta "android‑security". Ponte en contacto con nuestro equipo de asistencia para desarrolladores si necesitas más información para resolver este problema.