Tieto informácie sú určené pre vývojárov aplikácií, ktoré využívajú ľubovoľnú verziu reklamnej platformy MoPub predchádzajúcu verzii 4.4.0. Tieto verzie obsahujú chybu zabezpečenia.Migrujte svoje aplikácie čo najskôr na platformu MoPub verzie v4.4.0 alebo vyššej a zvýšte číslo verzie inovovaného súboru APK.
Čo sa deje
Od 11. júla 2016 začala služba Google Play blokovať zverejňovanie všetkých nových aplikácií a aktualizácií, ktoré používajú staré verzie platformy MoPub. Informácie nájdete v oznámení v službe Play Console. Po termínoch uvedených v službe Play Console z nej môžu byť odstránené všetky aplikácie s nevyriešenými chybami zabezpečenia.
Vyžaduje sa akcia
- Prihláste sa do služby Play Console, prejdite do časti Upozornenia a zistite termíny, dokedy treba problémy vyriešiť, a aplikácie, ktorých sa to týka.
- Aktualizujte príslušné aplikácie a chybu zabezpečenia odstráňte.
- Odošlite aktualizované verzie dotyčných aplikácií.
Po opätovnom odoslaní bude vaša aplikácia znova skontrolovaná. Tento proces môže trvať niekoľko hodín. Ak aplikácia úspešne prejde kontrolou a bude zverejnená, nie je potrebné vykonať žiadne ďalšie kroky. Ak aplikácia neprejde kontrolou, jej nová verzia sa nezverejní a dostanete upozornenie e‑mailom.
Ďalšie podrobnosti
Stiahnite si najnovšiu verziu platformy MoPub. Ak potrebujete pomôcť s inováciu, kontaktujte podporu na support@mopub.com. Ak používate knižnicu tretej strany, ktorá sa dodáva spolu s platformou MoPub, musíte ju inovovať na verziu, ktorá zahrnuje platformu MoPub verzie 4.4.0 alebo vyššej.
Chybu zabezpečenia spôsobujú nevymazané predvolené nastavenia služby WebView. Útočník môže túto chybu zneužiť zobrazením škodlivého kódu JavaScript v reklamnej kreatíve, čo mu umožní odvodiť existenciu lokálnych zdrojov s dôvernými a citlivými informáciami na zariadeniach. Na zariadeniach s Androidom, ktoré používajú rozhrania API predchádzajúce verzii 16, môže útočník dokonca získať prístup k lokálnym zdrojom. V prípade iných technických otázok môžete uverejniť príspevok na webe Stack Overflow. Použite v ňom značku „android-security“.
Ak zostavujete pomocou súboru AAR v odkladacom priestore Jcenter a chcete overiť číslo verzie, môžete skontrolovať konfiguráciu systému Gradle a uistiť sa, že odkazuje na verziu 4.4.0. Ak zostavujete priamo zo zdroja alebo nepoužívate Gradle a chcete overiť číslo verzie, môžete skontrolovať parameter SDK_VERSION na com.mopub.common.MoPub.java.
Tieto konkrétne problémy nemusia síce ovplyvňovať každú aplikáciu využívajúcu knižnicu MoPub, radšej však vždy používajte všetky aktuálne opravy zabezpečenia. Aplikácie s chybami zabezpečenia vystavujúce používateľov riziku napadnutia môžu byť považované za produkty, ktoré porušujú pravidlá týkajúce sa škodlivého správania a sekciu 4.4 distribučnej zmluvy pre vývojárov.
Aplikácie tiež musia byť v súlade s distribučnou zmluvou pre vývojárov a pravidlami programu pre vývojárov.
Sme tu pre vás
V prípade technických otázok týkajúcich sa tejto chyby zabezpečenia môžete uverejniť príspevok na webe Stack Overflow. Použite v ňom značku android-security. Ak potrebujete ďalšie vysvetlenie postupu na vyriešenie tohto problému, kontaktujte tím podpory pre vývojárov.