كيفية التصدي لثغرات MoPub الأمنية في تطبيقاتك

هذه المعلومات مخصصة لمطوري التطبيقات التي تستخدم أي إصدار من وسيط عرض الإعلان MoPub يسبق الإصدار 4.4.0. وذلك لأن هذه الإصدارات تحتوي على ثغرة أمنية.يُرجى نقل تطبيقاتك إلى MoPub v4.4.0 أو إصدار أحدث في أقرب وقت ممكن وزيادة رقم الإصدار لحزمة APK التي تمت ترقيتها.

تحليل المشكلة

ابتداءً من 11 تموز (يوليو) 2016، سيحظر Google Play نشر أي من التطبيقات أو التحديثات الجديدة التي تستخدم الإصدارات الأقدم من MoPub. يُرجى الرجوع إلى الإشعار على Play Console. وبعد مرور المواعيد النهائية الموضّحة في حسابك على Play Console، قد يتم حذف أيّ تطبيقات تحتوي على ثغرات أمنية لم يتم إصلاحها من Google Play.

الإجراء المطلوب​

1. سجِّل الدخول إلى حسابك على Play Console، وانتقِل إلى قسم "التنبيهات" لمعرفة التطبيقات المتأثرة بالثغرة الأمنية والمواعيد النهائية لحلّ هذه المشاكل.
2. حدِّث تطبيقاتك المتأثرة بالثغرة الأمنية وأصلِحها.
3. أرسِل النسخ المُحدّثة من تطبيقاتك المتأثرة بالثغرة الأمنية.

وفور إعادة الإرسال، سيخضع تطبيقك للمراجعة مرة أخرى. ويمكن أن تستغرق هذه العملية عدة ساعات. وإذا اجتاز التطبيق المراجعة وتم نشره بنجاح، لن تحتاج إلى اتخاذ أيّ إجراء آخر. وإذا تعذّر على التطبيق اجتياز المراجعة، لن يتم نشر إصدار التطبيق الجديد وستتلقى إشعارًا عبر البريد الإلكتروني.

تفاصيل إضافية

نزّل أحدث إصدار من Mopub من هنا. اتصل بالعنوان support@mopub.com إذا كنت تريد الحصول على مساعدة بشأن الترقية. إذا كنت تستخدم مكتبة تابعة لطرف ثالث وكانت هذه المكتبة تضم MoPub، يجب ترقيتها إلى إصدار يضم MoPub 4.4.0 أو إصدارًا أحدث.

يرجع سبب الثغرة الأمنية إلى وجود إعدادات WebView افتراضية لم يتم تصحيحها. ويمكن للمهاجمين استغلال هذه الثغرة الأمنية من خلال عرض رمز جافا سكريبت ضار داخل المواد الإبداعية الإعلانية ما يتيح لهم استنتاج وجود موارد محلية تحتوي على معلومات خصوصية حساسة على الأجهزة. بالنسبة إلى أجهزة Android التي تحتوي على الإصدارات السابقة من API 16، يمكن للمهاجم الوصول إلى الموارد المحلية. وبالنسبة إلى الأسئلة التقنية الأخرى، يمكنك طرحها على موقع Stack Overflow واستخدام العلامة "android-security".

للتأكد من رقم الإصدار إذا كنت بصدد إنشاء باستخدام Jcenter AAR، يمكنك التحقق من تهيئة Gradle والتأكد من أنها تشير إلى 4.4.0. لتأكيد رقم الإصدار إذا كنت بصدد إنشاء من المصدر مباشرة أو لا تستخدم Gradle، يمكنك التحقق من com.mopub.common.MoPub.java لـ SDK_VERSION.

يرجى العلم أنه من الأفضل أن تكون على اطّلاع دائم على جميع رموز تصحيحات الأمان، بالرغم من أن هذه المشكلات المحددة قد لا تؤثر في كل تطبيق يستخدم MoPub. وقد يتم اعتبار التطبيقات التي تتضمن ثغرات أمنية تعرّض المستخدمين لخطر الاختراق منتجات تنتهك سياسة السلوك الخطير والبند 4.4 من "اتفاقية توزيع مطوّري البرامج".

يجب أيضًا أن تلتزم التطبيقات باتفاقية توزيع مطوّري البرامج وسياسات برنامج مطوِّري البرامج. 

تسرّنا مساعدتك

إذا كان لديك أسئلة فنية بشأن الثغرات، يمكنك طرحها على موقع Stack Overflow واستخدام العلامة "android-security". لمزيد من التوضيح بشأن الخطوات المطلوبة لحلّ هذه المشكلة، يمكنك التواصل مع فريق دعم مطوّري البرامج.