Aquesta informació va dirigida als desenvolupadors d'aplicacions que fan servir qualsevol versió d'AdMarvel (una plataforma publicitària) anterior a la 2.5.4. Aquestes versions contenen una vulnerabilitat de seguretat i incompleixen la directriu sobre productes perillosos de la política de continguts, així com la secció 4.4 de l'Acord de distribució per a desenvolupadors. Migra les teves aplicacions a AdMarvel v2.5.4 o una versió posterior al més aviat possible i augmenta el número de versió de l'APK actualitzat.
Què passa
A partir del 9 de maig de 2016, Google Play va començar a bloquejar la publicació de les aplicacions o les actualitzacions noves que utilitzessin versions d'AdMarvel anteriors a la 2.5.4.Consulta l'avís a Play Console. Després de les dates límit que es mostren a Play Console, és possible que les aplicacions que presentin vulnerabilitats de seguretat sense solucionar se suprimeixin de Google Play.
Acció necessària
- Inicia la sessió a Play Console i navega per la secció Alertes per consultar quines aplicacions es veuen afectades i les dates límit per resoldre aquests problemes.
- Actualitza les aplicacions afectades i soluciona la vulnerabilitat.
- Envia les versions actualitzades de les aplicacions afectades.
Un cop l'hagis tornat a enviar, tornarem a revisar l'aplicació. Aquest procés pot tardar diverses hores. Si l'aplicació passa la revisió i es publica correctament, no cal dur a terme cap altra acció. Si l'aplicació no passa la revisió, no se'n publicarà la versió nova i rebràs una notificació per correu electrònic.
Detalls addicionals
Aquesta vulnerabilitat es va solucionar a la versió 2.5.4 d'AdMarvel. Pots baixar les versions més recents de l'SDK d'AdMarvel des del teu tauler d'AdMarvel. Per confirmar el número de versió, consulta la classe AdMarvelUtils. Si utilitzes una biblioteca de tercers en què s'inclou AdMarvel, l'has d'actualitzar a una versió que inclogui AdMarvel 2.5.4 o una versió posterior.
Si necessites més informació, pots enviar un correu electrònic a adsupport@admarvel.com, o publicar les teves preguntes a Stack Overflow amb les etiquetes "android-security" i "AdMarvel".
Aquesta vulnerabilitat està causada per una configuració permissiva de WebView que activa de manera explícita l'indicador booleà setAllowUniversalAccessFromFileURLs. És possible que un atacant aprofiti aquesta vulnerabilitat per publicar un codi JavaScript maliciós en una creació publicitària, amb la qual cosa li seria possible accedir als recursos locals dels dispositius. Per resoldre altres dubtes tècnics, publica les teves preguntes a Stack Overflow amb les etiquetes "android-security" i "AdMarvel".
Encara que és possible que aquests problemes concrets no afectin totes les aplicacions que utilitzen AdMarvel, és millor tenir tots els pedaços de seguretat actualitzats. Les aplicacions amb vulnerabilitats que suposen un risc per a la seguretat dels usuaris es poden considerar productes perillosos que incompleixen la política de continguts i la secció 4.4 de l'Acord de distribució per a desenvolupadors.
Les aplicacions també han de complir l'Acord de distribució per a desenvolupadors i la política de continguts.
Som aquí per ajudar-te
Si tens cap dubte tècnic sobre la vulnerabilitat, pots publicar les teves preguntes a Stack Overflow amb l'etiqueta "android-security". Per aclarir els passos que has de seguir per resoldre aquest problema, pots contactar amb el nostre equip d'assistència per a desenvolupadors.