תיקון אפליקציות עם נקודות תורפה ב-AdMarvel

מידע זה נועד למפתחים של אפליקציות שמשתמשות בגרסה כלשהי של AdMarvel, פלטפורמת מודעות, שקודמת לגרסה 2.5.4. גרסאות אלה מכילות נקודות תורפה ומהוות הפרה של תנאי המוצרים המסוכנים של מדיניות התוכן ושל סעיף 4.4 של הסכם ההפצה למפתחים. יש להעביר את האפליקציות אל AdMarvel מגרסה 2.5.4 ואילך בהקדם האפשרי ולהגדיל את מספר הגרסה של ה-APK המשודרג.

מה קורה?

החל מ-9 במאי 2016, Google Play החל לחסום פרסומים של אפליקציות או עדכונים חדשים שמשתמשים בגרסאות של AdMarvel שקודמות ל-2.5.4.יש לעיין בהודעה שב-Play Console.לאחר המועדים האחרונים לתיקון שמוצגים ב-Play Console, אפליקציות שיכילו פרצות אבטחה לא מתוקנות יוסרו מ-Google Play.

הפעולה הנדרשת

1. נכנסים לחשבון Play Console, ועוברים לקטע ההתראות כדי לבדוק אילו אפליקציות מושפעות מהבעיות ומהם המועדים האחרונים לתיקון.
2. מעדכנים את האפליקציות המושפעות ומתקנים את פרצת האבטחה.
3. שולחים את הגרסאות המעודכנות של האפליקציות המושפעות.

לאחר השליחה החוזרת, האפליקציה שלכם תיבדק שוב. תהליך זה עשוי להימשך כמה שעות. אם האפליקציה עוברת את הבדיקה ומתפרסמת בהצלחה, לא יהיה צורך בפעולה נוספת. אם האפליקציה תיכשל בבדיקה, גרסת האפליקציה החדשה לא תתפרסם ותקבלו התראה באימייל.

פרטים נוספים

פרצת האבטחה תוקנה ב-AdMarvel 2.5.4. ניתן להוריד את הגרסאות העדכניות ביותר של ה-SDK של AdMarvel ממרכז הבקרה של AdMarvel. ניתן לבדוק את מספר הגרסה במחלקה AdMarvelUtils. אם אתם משתמשים בספרייה של צד שלישי שכוללת את AdMarvel, יהיה צורך לשדרג אותה לגרסה הכוללת את AdMarvel בגירסה 2.5.4 ואילך.

לקבלת מידע נוסף, אפשר לפנות לתמיכה של AdMarvel בשליחת אימייל לכתובת adsupport@admarvel.com, או לפרסם פוסט בדף Stack Overflow ולהשתמש בתגים “android-security” ו-“AdMarvel.”

פרצת האבטחה נגרמת כתוצאה מהגדרת WebView המאפשרת באופן מפורש את הסימון הבוליאני setAllowUniversalAccessFromFileURLs. תוקף עלול לנצל את נקודת התורפה הזו על ידי הוספת קוד JavaScript זדוני בקריאייטיב של פרסום. בעקבות זאת, תתאפשר גישה למשאבים מקומיים במכשירים. אם יש לך שאלות טכניות נוספות, תוכל לפרסם אותן באתר Stack Overflow ולהשתמש בתגים “android-security” וכן “AdMarvel“.

אף על פי שייתכן שבעיות ספציפיות אלה לא משפיעות על כל אפליקציה שמשתמשת ב-AdMarvel, מומלץ להתקין את כל טלאי האבטחה העדכניים. אפליקציות המכילות נקודות תורפה שחושפות את המשתמשים לסיכון לפריצה עלולות להיחשב כמוצרים מסוכנים, המפרים את מדיניות התוכן ואת סעיף 4.4 של הסכם ההפצה למפתחים.

האפליקציות צריכות לעמוד גם בתנאים של הסכם ההפצה למפתחים ומדיניות התוכן. 

אנחנו כאן כדי לעזור

אם יש לכם שאלות טכניות בנוגע לפגיעוּת זו, ניתן לפרסם פוסט באתר Stack Overflow ולהשתמש בתג “android-security”. משהו לא ברור בשלבים לפתרון הבעיה? ניתן לפנות אל צוות התמיכה שלנו למפתחים.