מידע זה נועד למפתחי אפליקציות שמשתמשים בכל גרסה שהיא של MoPub שקודמת לגרסה 4.4.0. גרסאות אלה מכילות פרצת אבטחה.יש להעביר את האפליקציות אל MoPub מגרסה 4.4.0 ואילך בהקדם האפשרי ולהגדיל את מספר הגרסה של ה-APK המשודרג.
מה קורה?
החל מ-11 ביולי 2016, Google Play החל לחסום פרסומים של אפליקציות או עדכונים חדשים שמשתמשים בגרסאות ישנות יותר של MoPub. יש לעיין בהודעה שב-Play Console.לאחר המועדים האחרונים לתיקון שמוצגים ב-Play Console, אפליקציות שיכילו פרצות אבטחה לא מתוקנות יוסרו מ-Google Play.
הפעולה הנדרשת
- נכנסים לחשבון Play Console, ועוברים לקטע ההתראות כדי לבדוק אילו אפליקציות מושפעות מהבעיות ומהם המועדים האחרונים לתיקון.
- מעדכנים את האפליקציות המושפעות ומתקנים את פרצת האבטחה.
- שולחים את הגרסאות המעודכנות של האפליקציות המושפעות.
לאחר השליחה החוזרת, האפליקציה שלכם תיבדק שוב. תהליך זה עשוי להימשך כמה שעות. אם האפליקציה עוברת את הבדיקה ומתפרסמת בהצלחה, לא יהיה צורך בפעולה נוספת. אם האפליקציה תיכשל בבדיקה, גרסת האפליקציה החדשה לא תתפרסם ותקבלו התראה באימייל.
פרטים נוספים
אפשר להוריד את הגרסה העדכנית של MoPub כאן. לקבלת עזרה בשדרוג, יש לפנות אל support@mopub.com. אם אתם משתמשים בספרייה של צד שלישי שכוללת את MoPub, יהיה צורך לשדרג אותה לגרסה הכוללת את MoPub 4.4.0 ואילך.
נקודת התורפה נובעת מהגדרת ברירת מחדל של WebView שאינה חסינה. תוקף עלול לנצל את נקודת התורפה הזו על ידי הוספת קוד JavaScript זדוני בקריאייטיב של פרסום. בעקבות זאת, תתאפשר גישה למשאבים מקומיים במכשירים. למכשירי Android עם הגרסה הקודמת של API 16, התוקף יכול אפילו לקבל גישה למשאבים מקומיים. לשאלות טכניות אחרות, ניתן לפרסם פוסט באתר Stack Overflow ולהשתמש בתג 'android-security'.
כדי לאשר את מספר הגרסה אם אתה בונה באמצעות Jcenter AAR, תוכל לבדוק את תצורת Gradle שלך ולוודא שהיא מצביעה על 4.4.0. כדי לאשר את מספר הגרסה אם אתה בונה ישירות מהמקור או שאינך משתמש ב-Gradle, תוכל לבדוק בכתובת com.mopub.common.MoPub.java מהי גרסת ה-SDK.
אף על פי שייתכן שבעיות ספציפיות אלה לא משפיעות על כל אפליקציה שמשתמשת ב-MoPub, מומלץ להתקין את כל תיקוני האבטחה. אפליקציות המכילות פרצות אבטחה שחושפות את המשתמשים לסיכון לפריצה עלולות להיחשב כהפרות של מדיניות ההתנהגות הזדונית ואת סעיף 4.4 בהסכם ההפצה למפתחים.
האפליקציות צריכות לעמוד גם בתנאים של הסכם ההפצה למפתחים ומדיניות התוכנית למפתחים.
אנחנו כאן כדי לעזור
אם יש לכם שאלות טכניות בנוגע לפגיעוּת זו, ניתן לפרסם פוסט באתר Stack Overflow ולהשתמש בתג “android-security”. משהו לא ברור בשלבים לפתרון הבעיה? ניתן לפנות אל צוות התמיכה שלנו למפתחים.