Informasi ini ditujukan bagi developer aplikasi yang menggunakan platform iklan AdMarvel sebelum versi 2.5.4. Versi tersebut berisi kerentanan keamanan dan melanggar ketentuan Produk berbahaya dalam Kebijakan Konten, dan pasal 4.4 Perjanjian Distribusi Developer. Harap migrasikan aplikasi Anda ke AdMarvel v2.5.4 atau yang lebih tinggi sesegera mungkin, dan naikkan nomor versi APK yang telah diupgrade.
Yang terjadi
Mulai 9 Mei 2016, Google Play memblokir publikasi aplikasi baru atau update apa pun yang menggunakan AdMarvel di bawah versi v2.5.4. Silakan lihat pemberitahuan di Play Console Anda. Setelah batas waktu yang ditampilkan di Play Console, aplikasi apa pun yang memiliki kerentanan keamanan yang belum diperbaiki akan dihapus dari Google Play.
Tindakan yang diperlukan
- Login ke Play Console, dan buka bagian Notifikasi untuk melihat aplikasi mana yang terpengaruh dan batas waktu untuk menyelesaikan masalah ini.
- Update aplikasi yang terpengaruh dan perbaiki kerentanannya.
- Kirimkan versi terupdate aplikasi Anda yang terpengaruh.
Setelah pengiriman ulang, aplikasi Anda akan ditinjau kembali. Proses ini dapat memerlukan waktu beberapa jam. Jika aplikasi lolos dari proses peninjauan dan dipublikasikan, Anda tidak perlu melakukan tindakan lebih lanjut. Jika aplikasi gagal dalam proses peninjauan, versi aplikasi baru tidak akan dipublikasikan dan Anda akan menerima email notifikasi.
Detail tambahan
Kerentanan diatasi pada AdMarvel 2.5.4. AdMarvel SDK versi terbaru dapat didownload dari dasbor AdMarvel. Anda dapat mengonfirmasi nomor versi dengan memeriksa class AdMarvelUtils. Jika menggunakan library pihak ke-3 yang memaketkan AdMarvel, Anda perlu melakukan upgrade ke versi yang memaketkan AdMarvel 2.5.4 atau yang lebih tinggi.
Jika memerlukan informasi lebih lanjut, Anda dapat menghubungi dukungan AdMarvel dengan mengirim email ke adsupport@admarvel.com, atau mengirim postingan ke Stack Overflow dan menggunakan tag “android-security” dan “AdMarvel”.
Kerentanan ini disebabkan oleh setelan WebView permisif yang secara eksplisit mengaktifkan tanda boolean setAllowUniversalAccessFromFileURLs. Penyerang dapat mengekploitasi kerentanan ini untuk mengakses sumber daya lokal dengan menyajikan kode JavaScript berbahaya di materi iklan, sehingga memungkinkan akses ke sumber daya lokal di perangkat. Untuk pertanyaan teknis lainnya, Anda dapat mengeposkan ke Stack Overflow serta menggunakan tag “android-security” dan “AdMarvel”.
Meski masalah ini mungkin tidak memengaruhi setiap aplikasi yang menggunakan AdMarvel, sebaiknya selalu perbarui semua patch keamanan. Aplikasi dengan kerentanan yang menimbulkan risiko bagi pengguna untuk disusupi dapat dianggap sebagai produk berbahaya yang melanggar Kebijakan Konten dan pasal 4.4 Perjanjian Distribusi Developer.
Aplikasi juga harus mematuhi Perjanjian Distribusi Developer dan Kebijakan Konten.
Kami siap membantu
Jika ada pertanyaan teknis tentang kerentanan, Anda dapat mengirim postingan ke Stack Overflow dan menggunakan tag “android-security”. Untuk penjelasan mengenai langkah-langkah yang diperlukan guna mengatasi masalah ini, Anda dapat menghubungi tim dukungan developer.