Estas informações destinam-se aos programadores de aplicações que utilizam qualquer versão da plataforma de anúncios AdMarvel anterior à versão 2.5.4. Estas versões incluem uma vulnerabilidade de segurança e violam a disposição sobre Produtos perigosos da Política de Conteúdos e a secção 4.4 do Contrato de Distribuição para Programadores. Migre as suas aplicações para a versão v2.5.4 ou superior da AdMarvel assim que possível e aumente o número de versão do APK atualizado.
O que está a acontecer
A 9 de maio de 2016, o Google Play começou a bloquear a publicação de quaisquer novas aplicações ou atualizações que utilizem versões da AdMarvel anteriores à 2.5.4.Consulte o aviso na Play Console. Após os prazos apresentados na Play Console, as aplicações que contenham vulnerabilidades de segurança não corrigidas poderão ser removidas do Google Play.
Ação necessária
- Inicie sessão na Play Console e navegue até à secção Alertas para ver quais as aplicações afetadas e os prazos para resolver estes problemas.
- Atualize as aplicações afetadas e corrija a vulnerabilidade.
- Envie as versões atualizadas das aplicações afetadas.
Depois de voltar a enviar, a sua aplicação será revista novamente. Este processo pode demorar várias horas. Se a aplicação obtiver a aprovação na revisão e for publicada com êxito, não será necessária qualquer ação adicional. Se a aplicação falhar na revisão, a nova versão da aplicação não será publicada e receberá uma notificação por email.
Detalhes adicionais
A vulnerabilidade foi resolvida na versão 2.5.4 da AdMarvel. Pode transferir as versões mais recentes do SDK da AdMarvel a partir do painel de controlo da AdMarvel. Pode confirmar o número da versão ao consultar a classe AdMarvelUtils. Se utilizar uma biblioteca de terceiros que agregue a AdMarvel, tem de a atualizar para uma versão que agregue a versão 2.5.4 ou posterior da AdMarvel.
Se precisar de mais informações, entre em contacto com o apoio técnico da AdMarvel através do email adsupport@admarvel.com ou publique uma mensagem no Stack Overflow e utilize as etiquetas "android-security" e "AdMarvel".
A vulnerabilidade resulta de definições permissivas do WebView que ativam explicitamente o sinalizador booleano setAllowUniversalAccessFromFileURLs. Um utilizador mal-intencionado pode explorar esta vulnerabilidade ao publicar um código JavaScript malicioso num criativo de publicidade e, assim, permitir o acesso aos recursos locais nos dispositivos. Para outras questões técnicas, pode publicar uma mensagem no Stack Overflow e utilizar as etiquetas "android-security" e "AdMarvel".
Apesar de estes problemas específicos poderem não afetar todas as aplicações que utilizam a plataforma AdMarvel, é melhor manter-se atualizado no que respeita a todos os patches de segurança. As aplicações com vulnerabilidades que expõem os utilizadores ao risco de comprometimento podem ser consideradas produtos perigosos e, consequentemente, violar a Política de Conteúdos e a secção 4.4 do Contrato de Distribuição para Programadores.
As aplicações também devem estar em conformidade com o Contrato de Distribuição para Programadores e a Política de Conteúdos.
Estamos aqui para ajudar
Se tiver perguntas técnicas acerca da vulnerabilidade, pode publicar uma mensagem no Stack Overflow e utilizar a etiqueta "android-security". Para obter um esclarecimento sobre os passos que tem de efetuar para resolver este problema, pode contactar a nossa equipa de apoio técnico a programadores.