ข้อมูลนี้ใช้สำหรับนักพัฒนาซอฟต์แวร์ของแอปที่ใช้ MoPub เวอร์ชันต่างๆ ซึ่งเป็นแพลตฟอร์มโฆษณาที่มีมาก่อน 4.4.0 เวอร์ชันเหล่านี้มีช่องโหว่ด้านความปลอดภัยโปรดย้ายข้อมูลแอปไปใช้เวอร์ชัน MoPub v4.4.0 ขึ้นไปโดยเร็วที่สุด และเพิ่มหมายเลขเวอร์ชันของ APK ที่อัปเกรด
สิ่งที่เกิดขึ้น
ตั้งแต่วันที่ 11 กรกฎาคม 2016 Google Play ได้เริ่มบล็อกการเผยแพร่แอปใหม่ๆ หรืออัปเดตที่ใช้ MoPub เวอร์ชันเก่า โปรดอ่านประกาศใน Play Console เราอาจนำแอปที่มีช่องโหว่ด้านความปลอดภัยที่ไม่มีการแก้ไขออกจาก Google Play หลังพ้นกำหนดเวลาที่แสดงใน Play Console
สิ่งที่ต้องดำเนินการ
- ลงชื่อเข้าใช้ Play Console และไปที่ส่วนการแจ้งเตือนเพื่อดูแอปที่ได้รับผลกระทบและกำหนดเวลาในการแก้ไขปัญหาเหล่านี้
- อัปเดตแอปที่ได้รับผลกระทบและแก้ไขช่องโหว่
- ส่งเวอร์ชันที่อัปเดตของแอปที่ได้รับผลกระทบ
แอปของคุณจะได้รับการตรวจสอบอีกครั้งเมื่อมีการส่งใหม่ ขั้นตอนนี้อาจใช้เวลาหลายชั่วโมง หากแอปผ่านการตรวจสอบและเผยแพร่เรียบร้อยแล้ว คุณไม่ต้องดำเนินการใดๆ เพิ่มเติม หากแอปไม่ผ่านการตรวจสอบจะไม่มีการเผยแพร่แอปเวอร์ชันใหม่และคุณจะได้รับการแจ้งเตือนทางอีเมล
รายละเอียดเพิ่มเติม
ดาวน์โหลด MoPub เวอร์ชันล่าสุดที่นี่ ติดต่อ support@mopub.com หากคุณต้องการความช่วยเหลือในการอัปเกรด หากคุณใช้ไลบรารีของบุคคลที่สามที่รวม MoPub ไว้ด้วย คุณจะต้องอัปเกรดเป็นเวอร์ชันที่รวม MoPub 4.4.0 ขึ้นไป
ช่องโหว่ที่เกิดจากการตั้งค่าเริ่มต้น WebView ที่ไม่ได้ล้าง ผู้โจมตีอาจจะใช้ประโยชน์จากช่องโหว่นี้โดยใส่โค้ด JavaScript ที่เป็นอันตรายในครีเอทีฟโฆษณา ทำให้สามารถอนุมานการมีอยู่ของทรัพยากรข้อมูลความเป็นส่วนตัวในเครื่องบนอุปกรณ์ได้ สำหรับอุปกรณ์ Android ที่ใช้เวอร์ชันก่อนหน้านี้ของ API 16 ผู้โจมตีสามารถเข้าถึงทรัพยากรในเครื่องได้ หากมีคำถามทางเทคนิคอื่นๆ คุณสามารถโพสต์ที่ Stack Overflow และใช้แท็ก “android-security”
ในการยืนยันหมายเลขเวอร์ชัน ถ้าคุณกำลังสร้างโดยใช้ Jcenter AAR คุณสามารถตรวจสอบการตั้งค่า Gradle ให้แน่ใจว่ามันชี้ไปที่ 4.4.0 ในการยืนยันหมายเลขเวอร์ชัน ถ้าคุณกำลังสร้างโดยตรงจากแหล่งที่มา หรือไม่ได้ใช้ Gradle คุณสามารถตรวจสอบ com.mopub.commonMoPub.java เพื่อหา SDK_VERSION
แม้ว่าปัญหาเฉพาะเหล่านี้อาจไม่ได้ส่งผลกระทบกับแอปที่ใช้ MoPub ทุกๆ แอป แต่คุณควรอัปเดตด้วยแพตช์ความปลอดภัยทั้งหมดอยู่เสมอ แอปที่มีช่องโหว่ที่ทำให้ผู้ใช้เสี่ยงต่อการถูกโจมตีอาจได้รับการพิจารณาว่าละเมิดนโยบายพฤติกรรมที่เป็นอันตรายและหัวข้อ 4.4 ของข้อตกลงการจัดจำหน่ายของนักพัฒนาซอฟต์แวร์
แอปจะต้องปฏิบัติตามข้อตกลงการจัดจำหน่ายของนักพัฒนาซอฟต์แวร์และนโยบายโปรแกรมสำหรับนักพัฒนาซอฟต์แวร์ด้วย
เราพร้อมช่วยเหลือคุณ
หากมีคำถามทางเทคนิคเกี่ยวกับช่องโหว่ คุณโพสต์ถามได้ที่ Stack Overflow และใช้แท็ก “android-security” หากต้องการคำชี้แจงเกี่ยวกับขั้นตอนที่ต้องดำเนินการเพื่อแก้ไขปัญหานี้ โปรดติดต่อทีมสนับสนุนนักพัฒนาซอฟต์แวร์