Como corrigir apps com a vulnerabilidade do AdMarvel

Estas informações são destinadas aos desenvolvedores de apps que usam o software da plataforma de anúncios AdMarvel em versões anteriores à 2.5.4. Essas versões têm uma vulnerabilidade de segurança e violam a cláusula de Produtos perigosos da Política de conteúdo e a seção 4.4 do Contrato de distribuição do desenvolvedor. Faça a migração dos seus apps para o AdMarvel v2.5.4 ou posterior assim que possível e aumente o número da versão do APK atualizado.

O que está acontecendo

Em 9 de maio de 2016, o Google Play começou a bloquear a publicação de novos apps ou atualizações que usam versões do AdMarvel anteriores à 2.5.4.Consulte o aviso no Play Console. Após os prazos exibidos no Play Console, todos os apps com vulnerabilidades de segurança não corrigidas poderão ser removidos do Google Play.

Ação necessária​

  1. Faça login no Play Console e acesse a seção "Alertas" para ver os apps afetados e os prazos para resolver os problemas.
  2. Atualize esses apps e corrija a vulnerabilidade.
  3. Envie as versões atualizadas dos apps afetados.

Após o reenvio, seu app será revisado novamente. Esse processo pode levar várias horas. Se o app for aprovado na revisão e publicado, nenhuma outra ação será necessária. Se ele for reprovado, a nova versão não será publicada, e você receberá uma notificação por e-mail.

Detalhes adicionais

A vulnerabilidade foi identificada no AdMarvel 2.5.4. É possível fazer o download das versões mais recentes do SDK do AdMarvel no painel do AdMarvel. Verifique a classe AdMarvelUtils para confirmar o número da versão. Se você usar uma biblioteca de terceiros que tem o AdMarvel, faça upgrade para uma versão que inclua o AdMarvel 2.5.4 ou superior.

Se você precisar de mais informações, entre em contato com o suporte do AdMarvel enviando um e-mail para adsupport@admarvel.com ou poste uma mensagem no Stack Overflow com as tags "android-security" e "AdMarvel".

A vulnerabilidade ocorre devido a configurações permissivas de WebView que explicitamente ativam a sinalização booleana setAllowUniversalAccessFromFileURLs. Um invasor pode explorar essa vulnerabilidade veiculando um código JavaScript malicioso em um criativo de publicidade, possibilitando o acesso a recursos locais nos dispositivos. Para outras questões técnicas, poste no site Stack Overflow e use as tags "android-security" e "AdMarvel".

Mesmo que esses problemas específicos não afetem todos os apps que usam o AdMarvel, é recomendado manter todos os patches de segurança atualizados. Os apps com vulnerabilidades que expõem usuários a risco de comprometimento podem ser considerados produtos perigosos que violam a Política de conteúdo e a seção 4.4 do Contrato de distribuição do desenvolvedor.

Os apps também precisam estar em conformidade com o Contrato de distribuição do desenvolvedor e a Política de conteúdo

Estamos aqui para ajudar

Se você tiver dúvidas técnicas sobre a vulnerabilidade, escreva uma postagem no Stack Overflow e use a tag "android-security". Caso precise de mais informações sobre as etapas necessárias para resolver esse problema, entre em contato com nossa equipe de suporte ao desenvolvedor.

Isso foi útil?
Como podemos melhorá-lo?