この情報は、広告プラットフォーム AdMarvel の 2.5.4 より前のバージョンをアプリで使用しているデベロッパーを対象としています。2.5.4 より前のバージョンには、ユーザーデータを危機にさらすセキュリティ上の脆弱性が含まれています。早急にアプリを AdMarvel v2.5.4 以降に移行し、アップグレードした APK のバージョン番号を更新してください。
状況
2016 年 5 月 9 日以降、Google Play では AdMarvel v2.5.4 より前のバージョンを使用する新規アプリやアップデートの公開がブロックされるようになりました。詳しくは Play Console の通知をご覧ください。Play Console に表示されている期限を過ぎた後もセキュリティの脆弱性が修正されていないアプリは、Google Play から削除される場合があります。
必要な対応
- Play Console にログインし、[アラート] セクションで該当するアプリや問題の解決期限を確認します。
- 該当のアプリを更新し、脆弱性を修正します。
- 該当するアプリの更新バージョンを送信します。
再送信すると、アプリは再度審査されます。審査には数時間ほどかかることがあります。アプリが審査に合格して正常に公開された場合は、これ以上の対応は不要です。アプリが審査に不合格となった場合、アプリの更新バージョンは公開されず、メールで通知が届きます。
その他の詳細
この脆弱性は AdMarvel 2.5.4 で解決されています。最新バージョンの AdMarvel SDK は AdMarvel のダッシュボードからダウンロードできます。AdMarvelUtils クラスをチェックするとバージョン番号を確認できます。AdMarvel をバンドルするサードパーティのライブラリを使用している場合、AdMarvel 2.5.4 以降をバンドルするバージョンにアップグレードする必要があります。
詳細については、AdMarvel のサポート(adsupport@admarvel.com)までメールでお問い合わせになるか、Stack Overflow にタグ「android-security」および「AdMarvel」を使用して投稿してください。
この脆弱性の原因は、setAllowUniversalAccessFromFileURLs ブール値フラグを明示的に有効にする、制限の緩い WebView 設定です。攻撃者がこの脆弱性を悪用して、悪意のある JavaScript コードを広告クリエイティブで配信し、端末のローカル リソースにアクセスできるようにするおそれがあります。この他の技術的な不明点については、Stack Overflow にタグ「android-security」および「AdMarvel」を使用してご投稿ください。
この問題が AdMarvel を使用するすべてのアプリに影響しているとは限りませんが、すべてのセキュリティ パッチを最新のものにしておくことが最も効果的です。セキュリティ侵害の危険がある脆弱性を含むアプリは、コンテンツ ポリシーと、デベロッパー販売 / 配布契約の第 4.4 項に違反する「危険なプロダクト」と判断される場合があります。
アプリはデベロッパー販売 / 配布契約とコンテンツ ポリシーに準拠している必要があります。
サポートのご案内
脆弱性に関する技術的なご質問については、Stack Overflow にご投稿ください。その際、「android-security」タグをご利用ください。この問題を解決するための手順で不明な点がありましたら、デベロッパー サポートチームにお問い合わせください。