Как устранить уязвимость AdMarvel в приложениях

Информация в статье предназначена для разработчиков, в чьих приложениях используется платформа AdMarvel версии ниже 2.5.4. Эти приложения содержат уязвимость и нарушают Правила в отношении контента (раздел Вредоносные продукты), а также Соглашение о распространении программных продуктов (раздел 4.4). Как можно скорее перейдите на AdMarvel версии 2.5.4 или выше, обновите свои приложения и измените номер версии APK-файла.

Что происходит

С 9 мая 2016 года в Google Play нельзя публиковать приложения и обновления, в которых используются более ранние версии AdMarvel. Вам необходимо принять меры до даты, указанной в Play Console. После нее приложения, содержащие уязвимость, могут быть удалены из Google Play.

Что нужно сделать

  1. Чтобы узнать, какие приложения уязвимы и как скоро нужно устранить проблему, войдите в Play Console и откройте раздел "Оповещения".
  2. Устраните уязвимость и обновите затронутые ею приложения.
  3. Опубликуйте обновленные версии приложений.

После этого мы проведем повторную проверку, которая может занять несколько часов. Если уязвимость устранена и вы видите, что приложение опубликовано, дополнительных действий не потребуется. Если проблема не решена, новая версия не будет опубликована и вы получите уведомление по электронной почте.

Сведения об уязвимости

В AdMarvel 2.5.4 эта уязвимость устранена. Обновленный пакет разработчика можно скачать здесь. Чтобы уточнить номер версии, проверьте класс AdMarvelUtils. Если вы используете библиотеку AdMarvel стороннего разработчика, обновите ее до версии с AdMarvel 2.5.4 или выше.

Если у вас есть вопросы, свяжитесь со службой поддержки AdMarvel по адресу adsupport@admarvel.com или задайте их на сайте Stack Overflow, добавив теги android-security и AdMarvel.

Обнаруженная уязвимость связана с настройками разрешений WebView, запускающими логический флаг setAllowUniversalAccessFromFileURLs. Таким образом, злоумышленник может получить доступ к локальным ресурсам устройств, применив в рекламном продукте вредоносный код JavaScript. Если у вас есть вопросы, вы можете задать их здесь (используйте теги android-security и AdMarvel).

Проблемы с безопасностью есть не у всех приложений, работающих с библиотекой AdMarvel, однако мы рекомендуем своевременно обновлять защиту данных. Если приложение подвергает риску данные пользователей, оно может быть расценено как вредоносное. Такое приложение также нарушает условия Соглашения Google Play о распространении программных продуктов (раздел 4.4).

Приложения должны соответствовать условиям Соглашения о распространении программных продуктов и Правилам в отношении контента

Мы всегда рады помочь!

Если у вас есть вопросы, задайте их, используя тег android-security. Чтобы получить более подробные разъяснения, свяжитесь с командой поддержки для разработчиков.

Эта информация оказалась полезной?
Как можно улучшить эту статью?