Denne informasjonen gjelder for apputviklere som bruker en eldre versjon enn 2.5.4 av annonseplattformen AdMarvel. Disse versjonene inneholder en sikkerhetssvakhet og bryter med bestemmelsen for farlige produkter i retningslinjene for innhold samt del 4.4 av distribusjonsavtalen for utviklere. Oppgrader appene dine til AdMarvel v2.5.4 eller høyere så snart som mulig, og øk versjonsnummeret for den oppgraderte APK-en.
Hva skjer?
Fra og med 9. mai 2016 begynte Google Play å blokkere publisering av nye apper eller oppdateringer med versjoner av AdMarvel som er eldre enn 2.5.4.Les varselet i Play-konsollen. Alle apper som inneholder uløste sikkerhetssvakheter, kan bli fjernet fra Google Play etter tidsfristene som vises i Play-konsollen din.
Handling kreves
- Logg på Play-konsollen og gå til Varsler-delen for å se hvilke apper som er berørt, samt tidsfristene for å løse disse problemene.
- Oppdater de berørte appene og løs sikkerhetssvakheten.
- Send inn de oppdaterte versjonene av de berørte appene.
Hvis du sender apper inn igjen, blir de vurdert på nytt. Denne prosessen kan ta flere timer. Hvis gjennomgangen er vellykket og appene publiseres som de skal, trenger du ikke å iverksette ytterligere tiltak. Hvis gjennomgangen mislykkes, publiseres ikke de nye appversjonene, og du mottar et e-postvarsel.
Flere detaljer
Svakheten er rettet opp i AdMarvel 2.5.4. De nyeste versjonene av AdMarvel-SDK-en kan lastes ned fra AdMarvel-oversikten. Du kan bekrefte versjonsnummeret ved å sjekke AdMarvelUtils-klassen. Hvis du bruker et tredjepartsbibliotek som inneholder AdMarvel, må du oppgradere det til en versjon med AdMarvel 2.5.4 eller nyere.
Hvis du trenger mer informasjon, kan du kontakte AdMarvel-brukerstøtten ved å sende en e-post til adsupport@admarvel.com eller skrive et innlegg på Stack Overflow og bruke etikettene «android-security» og «AdMarvel».
Svakheten har oppstått på grunn av valgfrie WebView-innstillinger som eksplisitt slår på det boolske flagget setAllowUniversalAccessFromFileURLs. Angripere kan utnytte denne sikkerhetssvakheten ved å bruke ondsinnet JavaScript-kode i annonsereklamer, som gjør det mulig å få tilgang til lokale ressurser på enhetene. Hvis du har andre tekniske spørsmål, kan du legge de ut på Stack Overflow med etikettene «android-security» og «AdMarvel».
Selv om disse spesifikke problemene kanskje ikke påvirker alle appene som bruker AdMarvel, er det best å være oppdatert på alle sikkerhetsfeilrettinger (patcher). Apper med svakheter som utsetter brukere for sikkerhetsrisiko, kan vurderes som farlige produkter som bryter retningslinjene for innhold samt del 4.4 av distribusjonsavtalen for utviklere.
Apper må også overholde distribusjonsavtalen for utviklere og retningslinjene for innhold.
Vi hjelper deg gjerne
Hvis du har tekniske spørsmål om sikkerhetsproblemet, kan du skrive et innlegg på Stack Overflow og bruke etiketten «android-security». Hvis du vil ha mer informasjon om hva du må gjøre for å løse dette problemet, kan du kontakte brukerstøtteteamet for utviklere.