Информацията по-долу е предназначена за програмисти на приложения, в които се използват версии на рекламната платформа MoPub, по-стари от 4.4.0. Тези версии съдържат уязвимост в сигурността. Моля, възможно най-скоро променете приложението или съответно приложенията си, така че да използват MoPub 4.4.0 или по-нова версия, и увеличете номера на версията на надстроения APK файл.
Какво се случва
От 11 юли 2016 г. Google Play ще блокира публикуването на нови приложения и актуализации, в които се използват по-стари версии на MoPub. Моля, вижте известието в Play Console. След крайните срокове, показани в Play Console, всички приложения, които съдържат уязвимости в сигурността, може да бъдат премахнати от Google Play.
Изисква се действие
- Влезте в профила си в Play Console и преминете към секцията „Сигнали“, за да видите кои приложения са засегнати и крайните срокове за решаване на тези проблеми.
- Актуализирайте засегнатите приложения и отстранете уязвимостта.
- Изпратете актуализираните версии на засегнатите приложения.
При повторно изпращане приложението ви ще бъде прегледано отново. Този процес може да отнеме няколко часа. Ако приложението премине проверката и бъде публикувано успешно, няма нужда да правите нищо повече. В противен случай новата му версия няма да бъде публикувана и ще получите известие по имейл.
Допълнителни подробности
Изтеглете най-новата версия на MoPub оттук. Свържете се със support@mopub.com, ако имате нужда от помощ за надстройването. В случай че работите с библиотека на трета страна, която включва MoPub в пакет, ще се наложи да я надстроите, така че да се използва MoPub 4.4.0 или по-нова версия.
Уязвимостта се дължи на ненадеждни стандартни настройки на WebView. Извършител на атака може да се възползва от тази уязвимост, като вмъкне злонамерен JavaScript код във файл за създаване на реклама, за да получи информация за съхранявани на устройствата локални ресурси, които са деликатни по отношение на поверителността. При устройствата с Android, на които се използват версии на приложния програмен интерфейс (API), по-стари от API 16, извършителят на атаката ще може дори да осъществи достъп до локалните ресурси. Ако имате други технически въпроси, публикувайте ги в Stack Overflow и използвайте маркера „android-security“.
В случай че програмирате посредством AAR пакет от Jcenter, можете да потвърдите номера на версията, като се уверите, че в конфигурацията на Gradle е посочена версия 4.4.0. Ако програмирате директно от източника или не използвате Gradle, потвърдете версията, като проверите стойността на SDK_VERSION за com.mopub.common.MoPub.java.
Макар че е възможно тези конкретни проблеми да не засягат всяко приложение, в което се използва MoPub, най-добре е да имате всички актуални корекции за сигурност. Приложенията с уязвимости, които излагат потребителите на риск от компрометиране, може да бъдат сметнати за продукти в нарушение на правилата ни за злонамерено поведение и условията в раздел 4.4 на Споразумението с програмистите относно разпространението.
Приложенията също така трябва да спазват Споразумението с програмистите относно разпространението и Програмните правила за програмисти.
На ваше разположение сме
Ако имате технически въпроси относно уязвимостта, можете да ги публикувате в Stack Overflow и да използвате маркера android-security. За разяснение на стъпките, които трябва да изпълните, за да решите проблема, можете да се свържете с екипа ни за поддръжка за програмисти.