Informasi ini ditujukan bagi pengembang aplikasi yang menggunakan versi apa saja dari platform iklan MoPub sebelum 4.4.0. Versi ini memiliki kerentanan keamanan. Harap migrasikan aplikasi Anda ke MoPub v4.4.0 atau yang lebih tinggi sesegera mungkin, dan tambahkan nomor versi APK yang telah diupgrade.
Yang terjadi
Mulai tanggal 11 Juli 2016, Google Play akan memblokir publikasi aplikasi baru atau update apa pun yang menggunakan MoPub versi lebih lama. Silakan lihat pemberitahuan di Play Console Anda. Setelah batas waktu yang ditampilkan di Play Console, aplikasi apa pun yang memiliki kerentanan keamanan yang belum diperbaiki akan dihapus dari Google Play.
Tindakan yang diperlukan
- Login ke Play Console, dan buka bagian Notifikasi untuk melihat aplikasi mana yang terpengaruh dan batas waktu untuk menyelesaikan masalah ini.
- Update aplikasi yang terpengaruh dan perbaiki kerentanannya.
- Kirimkan versi terupdate aplikasi Anda yang terpengaruh.
Setelah pengiriman ulang, aplikasi Anda akan ditinjau kembali. Proses ini dapat memerlukan waktu beberapa jam. Jika aplikasi lolos dari proses peninjauan dan dipublikasikan, Anda tidak perlu melakukan tindakan lebih lanjut. Jika aplikasi gagal dalam proses peninjauan, versi aplikasi baru tidak akan dipublikasikan dan Anda akan menerima email notifikasi.
Detail tambahan
Download MoPub versi terbaru di sini. Hubungi support@mopub.com jika perlu bantuan saat melakukan upgrade. Jika Anda menggunakan library pihak ke-3 yang memaketkan MoPub, Anda perlu melakukan upgrade ke versi yang memaketkan MoPub 4.4.0 atau yang lebih tinggi.
Kerentanan disebabkan oleh setelan WebView default yang tidak disanitasi. Penyerang dapat mengekploitasi kerentanan ini dengan menyajikan kode JavaScript berbahaya di materi iklan, sehingga keberadaan sumber daya lokal yang bersifat sensitif dan pribadi di perangkat dapat diketahui. Untuk perangkat Android dengan versi di bawah API 16, penyerang bahkan dapat mengakses sumber daya lokal. Untuk pertanyaan teknis lainnya, Anda dapat mengeposkan ke Stack Overflow serta menggunakan tag “android-security”.
Untuk mengonfirmasi nomor versi jika Anda membuat aplikasi menggunakan Jcenter AAR, periksa konfigurasi Gradle dan pastikan bahwa konfigurasi mengarah ke 4.4.0. Untuk mengonfirmasi nomor versi jika Anda membuat aplikasi langsung dari sumber atau tidak menggunakan Gradle, periksa com.mopub.common.MoPub.java untuk SDK_VERSION.
Meski masalah ini mungkin tidak memengaruhi setiap aplikasi yang menggunakan MoPub, sebaiknya selalu perbarui semua patch keamanan. Aplikasi dengan kerentanan yang bisa membuat pengguna berisiko disusupi dapat dianggap melanggar kebijakan Perilaku Berbahaya dan pasal 4.4 Perjanjian Distribusi Developer.
Aplikasi juga harus mematuhi Perjanjian Distribusi Developer dan Kebijakan Program Developer.
Kami siap membantu
Jika ada pertanyaan teknis tentang kerentanan, Anda dapat mengirim postingan ke Stack Overflow dan menggunakan tag “android-security”. Untuk penjelasan tentang langkah-langkah yang diperlukan untuk menyelesaikan masalah ini, Anda dapat menghubungi tim dukungan developer.