Te informacje są przeznaczone dla deweloperów aplikacji, które korzystają z platformy reklamowej MoPub w wersji starszej niż 4.4.0. Są to wersje, które zawierają lukę w zabezpieczeniach. Jak najszybciej przeprowadź migrację aplikacji do MoPub w wersji 4.4.0 lub nowszej i zwiększ numer wersji uaktualnionego pliku APK.
O co chodzi?
Od 11 lipca 2016 roku Google Play blokuje publikowanie nowych aplikacji i aktualizacji korzystających ze starszych wersji MoPub. Zapoznaj się z powiadomieniem w Konsoli Play. Po przekroczeniu terminów wskazanych w Konsoli Play wszystkie aplikacje z lukami w zabezpieczeniach mogą zostać usunięte z Google Play.
Wymagane działania
- Zaloguj się w Konsoli Play i przejdź do sekcji Alerty, by sprawdzić, których aplikacji dotyczy problem i jaki jest termin jego rozwiązania.
- Zaktualizuj te aplikacje i usuń lukę w zabezpieczeniach.
- Prześlij zaktualizowane wersje tych aplikacji.
Po ponownym przesłaniu aplikacja zostanie jeszcze raz sprawdzona. Ten proces może potrwać kilka godzin. Jeśli aplikacja pomyślnie przejdzie weryfikację i zostanie opublikowana, nie musisz już nic robić. Jeśli wynik weryfikacji nie będzie pomyślny, nowa wersja aplikacji nie zostanie opublikowana, a Ty otrzymasz powiadomienie e-mailem.
Dodatkowe szczegóły
Pobierz stąd najnowszą wersję MoPub. Napisz na support@mopub.com, jeśli potrzebujesz pomocy przy aktualizacji. Jeśli używasz biblioteki zewnętrznej, która zawiera MoPub w pakiecie, musisz uaktualnić ją do wersji obejmującej bibliotekę MoPub w wersji 4.4.0 lub nowszej.
Luka w zabezpieczeniach jest spowodowana niewłaściwymi ustawieniami domyślnymi WebView. Atakujący może ją wykorzystać, umieszczając złośliwy kod JavaScript w reklamie, co z kolei umożliwia wykrycie poufnych danych w zasobach lokalnych na urządzeniu. Na urządzeniach z Androidem zawierających wcześniejsze wersje interfejsu API 16 atakujący może nawet uzyskać dostęp do zasobów lokalnych. Jeśli masz pytania techniczne, możesz je opublikować na stronie Stack Overflow, używając tagów „android-security”.
Aby potwierdzić numer wersji, gdy kompilujesz z użyciem Jcenter AAR, możesz sprawdzić konfigurację Gradle i upewnić się, że wskazuje ona na wersję 4.4.0. Aby potwierdzić numer wersji, gdy kompilujesz bezpośrednio z plików źródłowych lub nie używasz Gradle, możesz sprawdzić stałą SDK_VERSION w pliku com.mopub.common.MoPub.java.
Te problemy nie muszą pojawić się w każdej aplikacji używającej biblioteki MoPub, ale najlepiej jest na bieżąco wprowadzać wszelkie poprawki zabezpieczeń. Aplikacje z lukami narażającymi użytkowników na niebezpieczeństwo możemy uznać za niezgodne z zasadami dotyczącymi złośliwego zachowania i artykułem 4.4 Umowy dystrybucyjnej dla deweloperów.
Aplikacje muszą być też zgodne z Umową dystrybucyjną dla deweloperów i Zasadami programu dla deweloperów.
Chętnie Ci pomożemy
Jeśli masz pytania techniczne związane z tą luką w zabezpieczeniach, możesz je opublikować na Stack Overflow, używając tagu „android-security”. Jeśli potrzebujesz wyjaśnienia czynności niezbędnych do rozwiązania tego problemu, skontaktuj się z naszym zespołem pomocy dla deweloperów.