Diese Informationen richten sich an Entwickler von Apps, die eine beliebige Version der Anzeigenplattform MoPub vor der Version 4.4.0 verwenden. Diese Versionen enthalten eine Sicherheitslücke. Aktualisieren Sie Ihre Apps so bald wie möglich auf die MoPub-Version 4.4.0 oder höher und erhöhen Sie die Versionsnummer des aktualisierten APK.
Aktuelle Informationen
Google Play blockiert seit dem 11. Juli 2016 die Veröffentlichung sämtlicher neuer Apps und Updates, die ältere Versionen von MoPub verwenden. Weitere Informationen dazu finden Sie in der entsprechenden Nachricht in der Play Console. Nachdem die in der Play Console angezeigten Fristen abgelaufen sind, werden alle Apps, die nicht behobene Sicherheitslücken enthalten, aus Google Play entfernt.
Erforderliche Maßnahmen
- Melden Sie sich in der Play Console an und gehen Sie zum Bereich "Warnmeldungen". Dort sehen Sie, welche Apps betroffen sind und bis wann Sie diese Probleme beheben müssen.
- Aktualisieren Sie die betroffenen Apps und beheben Sie die Sicherheitslücke.
- Reichen Sie aktualisierte Versionen Ihrer betroffenen Apps ein.
Nachdem Ihre App neu eingereicht wurde, wird sie noch einmal überprüft. Dieser Vorgang kann mehrere Stunden dauern. Wenn die App die Überprüfung besteht und veröffentlicht wurde, sind keine weiteren Maßnahmen erforderlich. Falls die App die Überprüfung nicht besteht, wird die neue App-Version nicht veröffentlicht und Sie erhalten eine Benachrichtigung per E-Mail.
Zusätzliche Informationen
Laden Sie hier die neueste Version von MoPub herunter. Wenden Sie sich an support@mopub.com, wenn Sie Hilfe bei der Aktualisierung benötigen. Wenn Sie eine Bibliothek eines Drittanbieters verwenden, die MoPub enthält, müssen Sie ein Upgrade auf eine Version mit MoPub 4.4.0 oder höher ausführen.
Die Sicherheitslücke ist auf nicht ordnungsgemäße Standard-WebView-Einstellungen zurückzuführen. Durch diese Sicherheitslücke kann ein Angreifer unter Umständen schädlichen JavaScript-Code in ein Werbe-Creative einfügen und so Rückschlüsse auf das Vorhandensein sensibler lokaler Ressourcen auf den Geräten ziehen. Auf Android-Geräten mit einer früheren Version von API 16 kann der Angreifer sogar auf lokale Ressourcen zugreifen. Sonstige technische Fragen können Sie auf Stack Overflow posten. Bitte verwenden Sie dabei die Tags "android-security".
Wenn Sie die Versionsnummer bei der Entwicklung mit der Jcenter AAR bestätigen möchten, überprüfen Sie die Gradle-Config und vergewissern Sie sich, dass sie auf die Version 4.4.0 verweist. Wenn Sie direkt über die Quelle entwickeln und Gradle nicht verwenden, können Sie die Versionsnummer bestätigen. Überprüfen Sie dazu die com.mopub.common.MoPub.java auf SDK_VERSION.
Obwohl sich diese Probleme möglicherweise nicht auf alle Apps auswirken, in denen MoPub verwendet wird, ist es empfehlenswert, sämtliche Sicherheitspatches zu installieren. Apps mit Sicherheitslücken, durch die Nutzer zu Schaden kommen können, werden unter Umständen als Verstoß gegen unsere Richtlinien zu böswilligem Verhalten und den Abschnitt 4.4 der Vereinbarung für den Entwicklervertrieb eingestuft.
Apps müssen auch der Vereinbarung für den Entwicklervertrieb sowie den Programmrichtlinien für Entwickler entsprechen.
Hilfe und Support
Technische Fragen zu dieser Sicherheitslücke können Sie bei Stack Overflow posten. Bitte verwenden Sie dabei das Tag "android-security". Weitere Informationen zu den Maßnahmen, die zur Lösung dieses Problems erforderlich sind, erhalten Sie von unserem Entwicklersupportteam.