Ove su informacije namijenjene razvojnim programerima aplikacija koje koriste bilo koju verziju oglasne platforme AdMarvel stariju od verzije 2.5.4. Te verzije sadrže sigurnosnu ranjivost i krše odredbu Opasni proizvodi Pravila o sadržaju i odjeljak 4.4 Ugovora o distribuciji za razvojne programere. Premjestite svoju aplikaciju (ili više njih) na AdMarvel v2.5.4 ili noviju verziju što je prije moguće i povećajte broj verzije nadograđenog APK-a.
Što se događa
Od 9. svibnja 2016. Google Play počeo je blokirati objavljivanje svih novih aplikacija ili ažuriranja koja koriste verzije AdMarvela starije od verzije 2.5.4.Pogledajte obavijest na Play konzoli. Aplikacije koje budu sadržavale neriješene sigurnosne ranjivosti nakon rokova prikazanih na vašoj Play konzoli mogu se ukloniti s Google Playa.
Potrebna je radnja
- Prijavite se na Play Console i u odjeljku Upozorenja pogledajte koje su aplikacije podložne ranjivostima i koji su rokovi za rješavanje tih poteškoća.
- Ažurirajte zahvaćene aplikacije i uklonite ranjivosti.
- Pošaljite ažurirane verzije ranjivih aplikacija.
Nakon slanja ponovo ćemo pregledati vašu aplikaciju. Taj postupak može trajati nekoliko sati. Ako aplikacija prođe pregled i uspješno se objavi, ne morate više ništa poduzimati. Ako aplikacija ne prođe pregled, nova verzija aplikacije neće se objaviti i dobit ćete obavijest e-poštom.
Dodatne pojedinosti
Ranjivost je uklonjena u AdMarvelu 2.5.4. Najnovije verzije SDK-a za AdMarvel možete preuzeti na AdMarvelovoj nadzornoj ploči. Broj verzije možete saznati u klasi AdMarvelUtils. Ako upotrebljavate biblioteku treće strane koja uključuje AdMarvel, morat ćete je nadograditi na verziju koja uključuje AdMarvel 2.5.4 ili noviju verziju.
Ako su vam potrebne dodatne informacije, možete se obratiti AdMarvelovoj podršci putem adrese adsupport@admarvel.com ili objaviti pitanje na Stack Overflowu uz oznake “android-security” i “AdMarvel.”
Ranjivost je uzrokovana permisivnim postavkama WebViewa koje izričito omogućuju Booleovu oznaku setAllowUniversalAccessFromFileURLs. Napadač može iskoristiti tu ranjivost tako što će u oglasu poslužiti zlonamjerni JavaScript kôd, čime se omogućuje pristup lokalnim resursima na uređajima. Ostala tehnička pitanja možete objaviti na Stack Overflowu uz oznake "android-security" i "AdMarvel".
Iako te poteškoće ne moraju utjecati na sve aplikacije koje upotrebljavaju AdMarvel, najbolje je ažurirati sve sigurnosne zakrpe. Aplikacije s ranjivostima koje ugrožavaju sigurnost korisnika mogu se smatrati opasnim proizvodima koji krše Pravila o sadržaju i odjeljak 4.4 Ugovora o distribuciji za razvojne programere.
Aplikacije moraju biti u skladu i s Ugovorom o distribuciji za razvojne programere i Pravilima o sadržaju.
Obratite nam se ako vam zatreba pomoć
Ako imate tehničkih pitanja o toj ranjivosti, možete objaviti post na Stack Overflowu uz oznaku "android-security". Ako vam je potrebno pojašnjenje postupka za rješavanje te poteškoće, možete se obratiti našem timu za podršku razvojnim programerima.