Ez az információ az olyan alkalmazások fejlesztőinek szól, amelyek az AdMarvel nevű hirdetésplatform bármely, 2.5.4-esnél korábbi verzióját használják. Ezek a verziók biztonsági rést tartalmaznak, és sértik a tartalmi irányelvek veszélyes termékekre vonatkozó előírásait, valamint a Fejlesztői terjesztési megállapodás 4.4. szakaszában előírtakat. A lehető leghamarabb telepítsd át alkalmazásaidat az AdMarvel v2.5.4 vagy újabb verziójára, és növeld a frissített APK-k verziószámát.
Mi történik?
2016. május 9-től kezdve a Google Play minden olyan új alkalmazás és frissítés közzétételét letiltja, amely az AdMarvel 2.5.4 előtti verzióinak valamelyikét használja. A Play Console felületén lévő értesítésben további információt találhatsz. A Play Console felületén látható határidők letelte után eltávolíthatjuk a Google Playről azokat az alkalmazásokat, amelyekben még megtalálható a sebezhetőség.
Teendők
- Jelentkezz be a Play Console felületén, majd tekintsd át az Értesítések oldalon az érintett alkalmazásokat és a problémák megoldásának határidőit.
- Készíts olyan frissítést az érintett alkalmazásokhoz, amely elhárítja a sebezhetőséget.
- Küldd be az érintett alkalmazások frissített verzióit.
A beküldés után alkalmazásodat ismét ellenőrizzük. A folyamat több órát is igénybe vehet. Ha az alkalmazás megfelel az ellenőrzésen, és ezt követően közzétesszük, nincs más teendőd. Ha az alkalmazás nem felel meg az ellenőrzésen, akkor nem tesszük közzé az új verziót, és e-mailben értesítést küldünk a fejleményről.
Részletek
Ezt a biztonsági rést az AdMarvel 2.5.4-es verziójában kijavították. Az AdMarvel SDK legújabb verziói az AdMarvel-irányítópultról tölthetők le. Az AdMarvelUtils osztályban nézheted meg az általad használt verzió számát. Ha az AdMarvelt harmadik fél függvénytárán keresztül használod, akkor frissítsd a függvénytárat olyan verzióra, amelyhez már legalább az AdMarvel 2.5.4 tartozik.
Ha további információra van szükséged, vedd fel a kapcsolatot az AdMarvel ügyfélszolgálatával az adsupport@admarvel.com e-mail-címen, vagy tedd fel kérdésedet a Stack Overflow webhelyén, az „android-security” és az „AdMarvel” címke használatával.
A biztonsági rés oka a WebView néhány olyan beállítása, amely kifejezetten engedélyezi a setAllowUniversalAccessFromFileURLs logikai jelölőt. A támadók úgy használhatják ki ezt a biztonsági rést, hogy rosszindulatú JavaScript-kódot jelenítenek meg a hirdetési kreatívban, aminek köszönhetően hozzáférhetnek az eszköz helyi erőforrásaihoz. Egyéb technikai kérdéseidet a Stack Overflow webhelyen, az „android-security” és „AdMarvel” címkék használatával teheted fel.
Bár ezek a konkrét problémák nem feltétlenül vonatkoznak minden olyan alkalmazásra, amely az AdMarvelt használja, érdemes naprakésznek lenni a biztonsági javítások tekintetében. A biztonsági réseket tartalmazó, így a felhasználókat a támadások kockázatának kitevő alkalmazásokat veszélyes termékeknek tekinthetjük, amelyek sértik tartalmi irányelveinket, illetve a Fejlesztői terjesztési megállapodás 4.4. szakaszát.
Az alkalmazásoknak meg kell felelniük a Fejlesztői terjesztési megállapodásban és a tartalmi irányelvekben foglaltaknak is.
Örömmel segítünk
A sebezhetőségre vonatkozó technikai kérdéseidet felteheted a Stack Overflow webhelyén, az „android-security” címkével ellátva. Ha a probléma megoldásának lépéseire vonatkozóan szeretnél tisztázni valamit, vedd fel a kapcsolatot fejlesztőtámogatási csapatunkkal.