Cette information est destinée aux développeurs d'applications qui utilisent une version de la plate-forme publicitaire MoPub antérieure à la version 4.4.0. Ces versions présentent une faille de sécurité.Veuillez migrer votre ou vos applications dès que possible vers MoPub 4.4.0 ou version ultérieure, et modifier en conséquence le numéro de version du fichier APK mis à jour.
Que se passe-t-il ?
Depuis le 11 juillet 2016, Google Play bloque la publication des nouvelles applications et mises à jour faisant appel à d'anciennes versions de MoPub. Veuillez consulter la notification dans votre console Play. Passé les délais indiqués dans la console Play, toutes les applications présentant des failles de sécurité non résolues pourront être supprimées de Google Play.
Action requise
- Connectez-vous à la console Play et accédez à la section "Alertes" pour savoir quelles sont les applications concernées et connaître les délais à respecter pour résoudre ces problèmes.
- Mettez à jour les applications concernées et corrigez la faille.
- Envoyez les versions mises à jour des applications concernées.
Votre application sera à nouveau examinée. Le processus peut durer plusieurs heures. Si votre application est approuvée et publiée, aucune autre action de votre part n'est requise. Si l'application n'est pas approuvée, sa nouvelle version ne sera pas publiée, et vous recevrez une notification par e-mail.
Informations supplémentaires
Téléchargez la dernière version de MoPub. Si vous avez besoin d'aide pour effectuer la mise à jour, contactez support@mopub.com. Si vous avez recours à une bibliothèque tierce qui inclut MoPub, vous devrez la mettre à jour pour utiliser une version qui inclut MoPub 4.4.0 ou version ultérieure.
La faille est due à des paramètres WebView par défaut non rectifiés. Un pirate informatique peut exploiter cette faille en diffusant dans une création publicitaire un code JavaScript malveillant qui lui permettrait de déduire la présence de ressources locales confidentielles sur les appareils. Sur les appareils Android équipés de versions antérieures de l'API 16, cette personne pourrait même accéder aux ressources locales. Si vous avez d'autres questions techniques, vous pouvez publier un message sur le site Stack Overflow en utilisant le tag "android-security".
Pour vérifier le numéro de la version que vous utilisez si vous développez en utilisant le fichier AAR Jcenter, vous pouvez consulter votre configuration Gradle et vous assurer qu'elle indique la version 4.4.0. Si vous créez vous-même la source de votre code ou si vous n'utilisez pas Gradle, vous pouvez consulter com.mopub.common.MoPub.java et rechercher la version SDK_VERSION.
Même si ces problèmes spécifiques n'affectent pas nécessairement toutes les applications qui utilisent MoPub, nous vous recommandons de vous tenir informé des correctifs de sécurité. Nous pouvons considérer que les applications qui présentent des failles risquant de compromettre la sécurité des utilisateurs ne respectent pas nos règles relatives au comportement malveillant ni la section 4.4 du contrat relatif à la distribution (pour les développeurs).
Les applications doivent également être conformes au Contrat relatif à la distribution (pour les développeurs) et au Règlement du programme Google Play (pour les développeurs).
Nous sommes là pour vous aider
Si vous avez des questions techniques sur cette faille, vous pouvez publier un message sur le site Stack Overflow en utilisant le tag "android-security". Si vous souhaitez obtenir des éclaircissements sur les étapes à suivre pour résoudre ce problème, vous pouvez contacter notre équipe d'assistance pour les développeurs.