Информация в статье предназначена для разработчиков, в чьих приложениях используется платформа AdMarvel версии ниже 2.5.4. Эти приложения содержат уязвимость и нарушают Правила в отношении контента (раздел Вредоносные продукты), а также Соглашение о распространении программных продуктов (раздел 4.4). Как можно скорее перейдите на AdMarvel версии 2.5.4 или выше, обновите свои приложения и измените номер версии APK-файла.
Что происходит
С 9 мая 2016 года в Google Play нельзя публиковать приложения и обновления, в которых используются более ранние версии AdMarvel. Вам необходимо принять меры до даты, указанной в Play Console. После нее приложения, содержащие уязвимость, могут быть удалены из Google Play.
Что нужно сделать
- Чтобы узнать, какие приложения уязвимы и как скоро нужно устранить проблему, войдите в Play Console и откройте раздел "Оповещения".
- Устраните уязвимость и обновите затронутые ею приложения.
- Опубликуйте обновленные версии приложений.
После этого мы проведем повторную проверку, которая может занять несколько часов. Если уязвимость устранена и вы видите, что приложение опубликовано, дополнительных действий не потребуется. Если проблема не решена, новая версия не будет опубликована и вы получите уведомление по электронной почте.
Сведения об уязвимости
В AdMarvel 2.5.4 эта уязвимость устранена. Обновленный пакет разработчика можно скачать здесь. Чтобы уточнить номер версии, проверьте класс AdMarvelUtils. Если вы используете библиотеку AdMarvel стороннего разработчика, обновите ее до версии с AdMarvel 2.5.4 или выше.
Если у вас есть вопросы, свяжитесь со службой поддержки AdMarvel по адресу adsupport@admarvel.com или задайте их на сайте Stack Overflow, добавив теги android-security и AdMarvel.
Обнаруженная уязвимость связана с настройками разрешений WebView, запускающими логический флаг setAllowUniversalAccessFromFileURLs. Таким образом, злоумышленник может получить доступ к локальным ресурсам устройств, применив в рекламном продукте вредоносный код JavaScript. Если у вас есть вопросы, вы можете задать их здесь (используйте теги android-security и AdMarvel).
Проблемы с безопасностью есть не у всех приложений, работающих с библиотекой AdMarvel, однако мы рекомендуем своевременно обновлять защиту данных. Если приложение подвергает риску данные пользователей, оно может быть расценено как вредоносное. Такое приложение также нарушает условия Соглашения Google Play о распространении программных продуктов (раздел 4.4).
Приложения должны соответствовать условиям Соглашения о распространении программных продуктов и Правилам в отношении контента.
Мы всегда рады помочь!
Если у вас есть вопросы, задайте их, используя тег android-security. Чтобы получить более подробные разъяснения, свяжитесь с командой поддержки для разработчиков.