Řešení chyb zabezpečení platformy MoPub v aplikacích

Tyto informace jsou určeny vývojářům aplikací, kteří používají jakoukoli verzi reklamní platformy MoPub starší než 4.4.0. Tyto verze obsahují chybu zabezpečení.Co nejdříve aplikace migrujte na platformu MoPub verze 4.4.0 nebo novější a zvyšte číslo verze upgradovaného souboru APK.

K čemu dochází

Od 11. července 2016 bude služba Google Play blokovat publikování nových aplikací a aktualizací, které používají starší verze platformy MoPub. Další informace najdete v oznámení ve službě Play Console. Po termínech uvedených v Play Console mohou být aplikace s neopravenými chybami zabezpečení z Google Play odstraněny.

Vyžadovaná akce

  1. Přihlaste se do Play Console a přejděte do sekce Upozornění, kde zjistíte, kterých aplikací se tento problém týká a do kdy je potřeba jej vyřešit.
  2. Aktualizujte dotčené aplikace a chybu zabezpečení opravte.
  3. Odešlete aktualizované verze dotčených aplikací.

Po odeslání bude aplikace znovu zkontrolována. Tento proces může trvat několik hodin. Pokud aplikace při kontrole projde a bude úspěšně publikována, není potřeba podnikat žádné další kroky. Jestliže aplikace při kontrole neprojde, nová verze aplikace nebude publikována a obdržíte e‑mailem oznámení.

Další podrobnosti

Stáhněte si nejnovější verzi platformy MoPub zde. Pokud s upgradováním potřebujete pomoci, napište na adresu support@mopub.com. Pokud používáte knihovnu třetí strany, která obsahuje platformu MoPub, bude potřeba přejít na verzi knihovny s platformou MoPub verze 4.4.0 nebo novější.

Chyba zabezpečení je způsobena neošetřeným nastavením komponenty WebView. Útočník by tuto chybu mohl poskytnutím škodlivého kódu JavaScript prostřednictvím reklamní kreativy zneužít k odvození existence místních zdrojů citlivých z hlediska ochrany soukromí. V zařízeních Android s předchozími verzemi rozhraní API 16 může útočník k místním zdrojům dokonce získat přístup. Máte-li jiné technické dotazy, publikuje příspěvek na webu Stack Overflow. Použijte štítek „android-security“.

Pokud k sestavení používáte soubor AAR z repozitáře Jcenter, zkontrolujte konfiguraci nástroje Gradle a ověřte, zda odkazuje na verzi 4.4.0. Pokud sestavení provádíte přímo ze zdrojového kódu nebo nepoužíváte nástroj Gradle, vyhledejte v souboru com.mopub.common.MoPub.java řetězec SDK_VERSION.

Ačkoli tyto konkrétní problémy nemusejí mít dopad na každou aplikaci, která používá platformu MoPub, doporučujeme instalovat všechny opravy zabezpečení. Aplikace s chybami zabezpečení, které uživatele vystavují riziku zneužití, mohou být považovány za produkty, jež porušují naše zásady ohledně škodlivého chováníodstavec 4.4 distribuční smlouvy pro vývojáře.

Aplikace také musí být v souladu s distribuční smlouvou pro vývojářeprogramovými zásadami pro vývojáře

Rádi vám poradíme

Máte-li ohledně této zranitelnosti technické dotazy, publikuje příspěvek na webu Stack Overflow. Použijte štítek „android-security“. Pokud potřebujete poradit s jednotlivými kroky k řešení tohoto problému, obraťte se na náš tým podpory pro vývojáře.