Αυτές οι πληροφορίες αφορούν προγραμματιστές εφαρμογών που αξιοποιούν οποιαδήποτε έκδοση του MoPub (πλατφόρμα διαφημίσεων) προγενέστερη της έκδοσης 4.4.0. Αυτές οι εκδόσεις περιέχουν μια ευπάθεια ασφάλειας.Μετεγκαταστήστε τις εφαρμογές σας στην έκδοση MoPub v4.4.0 ή νεότερη έκδοση το συντομότερο δυνατό και αυξήστε τον αριθμό της έκδοσης του αναβαθμισμένου APK.
Τι συμβαίνει
Από τις 11 Ιουλίου 2016, το Google Play αποκλείει τη δημοσίευση νέων εφαρμογών ή ενημερώσεων που χρησιμοποιούν παλαιότερες εκδόσεις του MoPub. Ανατρέξτε στην ειδοποίηση στο Play Console. Μετά την πάροδο των προθεσμιών που εμφανίζονται στο Play Console, όλες οι εφαρμογές που περιέχουν ευπάθειες ασφαλείας που δεν έχουν αντιμετωπιστεί, ενδέχεται να καταργηθούν από το Google Play.
Απαιτείται ενέργεια
- Συνδεθείτε στο Play Console και μεταβείτε στην ενότητα Ειδοποιήσεις για να δείτε τις επηρεαζόμενες εφαρμογές και τις προθεσμίες για την επίλυση των σχετικών ζητημάτων.
- Ενημερώστε τις επηρεαζόμενες εφαρμογές και διορθώστε την ευπάθεια.
- Υποβάλετε τις ενημερωμένες εκδόσεις των επηρεαζόμενων εφαρμογών.
Μετά την επανυποβολή, η εφαρμογή σας θα ελεγχθεί ξανά. Αυτή η διαδικασία μπορεί να διαρκέσει αρκετές ώρες. Εάν ο έλεγχος της εφαρμογής ολοκληρωθεί χωρίς προβλήματα και η εφαρμογή δημοσιευτεί με επιτυχία, τότε δεν απαιτείται καμία άλλη ενέργεια. Εάν ο έλεγχος της εφαρμογής αποτύχει, τότε η νέα έκδοση της εφαρμογής δεν θα δημοσιευτεί και θα λάβετε σχετική ειδοποίηση με ένα μήνυμα ηλεκτρονικού ταχυδρομείου.
Πρόσθετα στοιχεία
Κατεβάστε την πιο πρόσφατη έκδοση του Mopub από εδώ. Αν χρειαστείτε βοήθεια κατά την αναβάθμιση, στείλτε ένα μήνυμα στη διεύθυνση support@mopub.com. Εάν χρησιμοποιείτε βιβλιοθήκη τρίτου μέρους η οποία περιέχει το MoPub, θα χρειαστεί να την αναβαθμίσετε σε μια έκδοση που περιέχει το MoPub 4.4.0 ή μεταγενέστερη έκδοση.
Η ευπάθεια αφορά τις μη ασφαλείς προεπιλεγμένες ρυθμίσεις του WebView. Ένας εισβολέας μπορεί να εκμεταλλευτεί αυτήν την ευπάθεια αποστέλλοντας κακόβουλο κώδικα JavaScript σε κάποιο δημιουργικό διαφήμισης, καθιστώντας δυνατό τον εντοπισμό απόρρητων τοπικών πόρων στις συσκευές. Για συσκευές Android με προηγούμενες εκδόσεις του API 16, ο εισβολέας μπορεί ακόμη και να αποκτήσει πρόσβαση στους τοπικούς πόρους. Για περισσότερες τεχνικές ερωτήσεις, μπορείτε να κάνετε μια δημοσίευση στον ιστότοπο Stack Overflow χρησιμοποιώντας τις ετικέτες “android-security”.
Για να επαληθεύσετε τον αριθμό έκδοσης αν κάνετε ανάπτυξη χρησιμοποιώντας το Jcenter AAR, μπορείτε να ελέγξετε τη ρύθμιση Gradle για να βεβαιωθείτε ότι παραπέμπει στην έκδοση 4.4.0. Για να επαληθεύσετε τον αριθμό έκδοσης αν κάνετε ανάπτυξη απευθείας από την προέλευση ή αν δεν χρησιμοποιείτε το Gradle, μπορείτε να ανατρέξτε στο com.mopub.common.MoPub.java για να βρείτε το SDK_VERSION.
Παρόλο που αυτά τα συγκεκριμένα προβλήματα ενδέχεται να μην επηρεάζουν κάθε εφαρμογή που χρησιμοποιεί το MoPub, είναι προτιμότερο να διατηρείτε ενημερωμένες τις εφαρμογές σας με όλες τις ενημερώσεις κώδικα ασφαλείας. Οι εφαρμογές με ευπάθειες που εκθέτουν τους χρήστες σε κίνδυνο παραβίασης ενδέχεται να θεωρηθεί ότι παραβαίνουν την Πολιτική κακόβουλης συμπεριφοράς και την ενότητα 4.4 του Συμφωνητικού διανομής για προγραμματιστές.
Οι εφαρμογές πρέπει επίσης να συμμορφώνονται με το Συμφωνητικό διανομής για προγραμματιστές και τις Πολιτικές προγράμματος για προγραμματιστές.
Είμαστε εδώ για να σας βοηθήσουμε
Αν έχετε τεχνικές ερωτήσεις σχετικά με τη συγκεκριμένη ευπάθεια, μπορείτε να τις δημοσιεύσετε στον ιστότοπο Stack Overflow με την ετικέτα “android-security”. Για διευκρινίσεις σχετικά με τα βήματα που πρέπει να ακολουθήσετε για την επίλυση του προβλήματος, μπορείτε να επικοινωνήσετε με την ομάδα υποστήριξης προγραμματιστών.