Queste informazioni sono rivolte agli sviluppatori di app che qualsiasi versione della piattaforma di annunci AdMarvel precedente alla 2.5.4. Tali versioni presentano una vulnerabilità di sicurezza che vìola la disposizione sui prodotti dannosi delle norme relative ai contenuti e la sezione 4.4 del Contratto di distribuzione per gli sviluppatori. Esegui il prima possibile la migrazione delle tue app in AdMarvel v2.5.4 o versioni successive e incrementa il numero della versione dell'APK aggiornato.
Situazione attuale
A partire dal 9 maggio 2016, Google Play ha iniziato a bloccare la pubblicazione di eventuali nuove app o aggiornamenti che utilizzano versioni di AdMarvel precedenti alla 2.5.4.Consulta la notifica sulla Play Console. Dopo le scadenze indicate nella Play Console, le app che contengono vulnerabilità di sicurezza non corrette potrebbero essere rimosse da Google Play.
Azione richiesta
- Accedi alla Play Console e vai alla sezione Avvisi per scoprire quali app sono interessate dai problemi e le scadenze per risolverli.
- Aggiorna le app interessate e correggi la vulnerabilità.
- Invia le versioni aggiornate delle tue app coinvolte.
Quando invii nuovamente le app, queste vengono riesaminate. Questa procedura può richiedere diverse ore. Se l'app supera il controllo e viene pubblicata correttamente, non sono necessari ulteriori interventi. Se l'app non supera il controllo, la nuova versione dell'app non verrà pubblicata e riceverai una notifica via email.
Ulteriori dettagli
La vulnerabilità è stata risolta nella versione 2.5.4 di AdMarvel. Puoi scaricare le versioni più recenti dell'SDK di AdMarvel dalla tua dashboard di AdMarvel. Puoi verificare il numero di versione nella classe AdMarvelUtils. Se utilizzi una libreria di terze parti che comprende AdMarvel, dovrai eseguire l'upgrade a una versione contenente AdMarvel 2.5.4 o versioni successive.
Se ti servono ulteriori informazioni, puoi contattare l'assistenza AdMarvel inviando un'email a adsupport@admarvel.com o pubblicare altre domande tecniche su Stack Overflow e utilizzare i tag "android-security" e "AdMarvel".
La vulnerabilità è dovuta a impostazioni WebView permissive che consentono esplicitamente il flag booleano setAllowUniversalAccessFromFileURLs. Un malintenzionato potrebbe sfruttare questa vulnerabilità per pubblicare codice JavaScript dannoso in una creatività pubblicitaria e consentire così l'accesso a risorse locali sui dispositivi. Puoi pubblicare altre domande tecniche su Stack Overflow utilizzando i tag "android-security" e "AdMarvel".
Anche se questi problemi specifici potrebbero non riguardare ogni app che utilizza AdMarvel, è meglio essere sempre aggiornati su tutte le patch di sicurezza. Le app con vulnerabilità che mettono a rischio la sicurezza degli utenti potrebbero essere considerate prodotti pericolosi in violazione delle Norme relative ai contenuti e della sezione 4.4 del Contratto di distribuzione per gli sviluppatori.
Le app devono inoltre essere conformi al Contratto di distribuzione per gli sviluppatori e alle Norme relative ai contenuti.
Siamo qui per aiutarti
Puoi pubblicare eventuali domande tecniche relative alla vulnerabilità su Stack Overflow con il tag "android-security". Per chiarimenti sui passaggi da seguire per risolvere il problema, puoi contattare il nostro team di assistenza per gli sviluppatori.