Cómo reparar apps afectadas por la vulnerabilidad de AdMarvel

Esta información está dirigida a desarrolladores de apps que usen cualquier versión de AdMarvel (una plataforma de anuncios) anterior a la 2.5.4. Estas versiones contienen una vulnerabilidad de seguridad y, además, infringen la cláusula de Productos Peligrosos de la Política de Contenido y el Artículo 4.4 del Acuerdo de Distribución para Desarrolladores. Migra tus apps a AdmArvel v2.5.4 o una versión posterior lo antes posible y aumenta el número de versión del APK actualizado.

Novedades

A partir del 9 de mayo de 2016, Google Play comenzó a bloquear la publicación de apps nuevas o actualizaciones que usan versiones de AdMarvel anteriores a la 2.5.4.Consulta la notificación en tu cuenta de Play ConsoleDespués de los plazos que aparecen en Play Console, todas las apps que contengan vulnerabilidades de seguridad no resueltas se eliminarán de Google Play.

Acción necesaria​

  1. Accede a tu cuenta de Play Console y desplázate a la sección "Alertas" para ver qué apps están afectadas, así como los plazos para resolver los problemas.
  2. Actualiza las apps afectadas y corrige la vulnerabilidad.
  3. Envía las versiones actualizadas de las apps afectadas.

Una vez que las hayas reenviado, revisaremos tu app nuevamente. Este proceso puede demorar varias horas. Si la app pasa la revisión y se publica sin problemas, no se requerirá ninguna otra acción. Si la app no pasa la revisión, no se publicará la nueva versión, y recibirás una notificación por correo electrónico.

Detalles adicionales

La vulnerabilidad se resolvió en AdMarvel 2.5.4. Puedes descargar las versiones más recientes del SDK de AdMarvel desde tu panel de AdMarvel. Para confirmar el número de versión, comprueba la clase de AdMarvelUtils. Si usas la biblioteca de un tercero que incluya AdMarvel, tendrás que actualizarla a una que tenga AdMarvel 2.5.4 o versiones posteriores.

Si necesitas más información, puedes contactar al departamento de Asistencia de AdMarvel mediante el correo electrónico adsupport@admarvel.com o realizar una publicación en Stack Overflow con las etiquetas "android-security" y "AdMarvel".

La vulnerabilidad se debe a una configuración de WebView permisiva que permite el indicador booleano setAllowUniversalAccessFromFileURLs de forma explícita. Un atacante podría aprovechar esta vulnerabilidad y publicar un código JavaScript malicioso en una creatividad publicitaria, lo que posibilitaría el acceso a los recursos locales en los dispositivos. Por otras cuestiones técnicas, puedes publicar comentarios en Stack Overflow y usar las etiquetas "android-security" y "AdMarvel".

Si bien es posible que estos problemas no afecten a todas las apps que usan AdMarvel, se recomienda mantener todos los parches de seguridad actualizados. Aquellas apps con vulnerabilidades que comprometan la seguridad de los usuarios se considerarán productos peligrosos que infringen la Política de Contenido y el Artículo 4.4 del Acuerdo de Distribución para Desarrolladores.

Las apps también deben cumplir con el Acuerdo de Distribución para Desarrolladores y la Política de Contenido

Estamos aquí para ayudarte

Si tienes preguntas técnicas sobre la vulnerabilidad, publícalas en Stack Overflow con la etiqueta "android-security". Si tienes dudas sobre los pasos que debes seguir para resolver este problema, comunícate con nuestro equipo de asistencia para desarrolladores.