アプリの MoPub の脆弱性への対処方法

この情報は、広告プラットフォーム MoPub の 4.4.0 より前のバージョンを使用しているアプリのデベロッパーを対象としています。これらのバージョンにはセキュリティの脆弱性が含まれています。早急にアプリを MoPub v4.4.0 以降に移行し、アップグレードした APK のバージョン番号を更新してください。

状況

2016 年 7 月 11 日以降、Google Play では、旧バージョンの MoPub を使用するすべての新規アプリおよびアップデートの公開が禁止されています。詳しくは Play Console の通知をご覧ください。Play Console に表示されている期限を過ぎた後もセキュリティの脆弱性が修正されていないアプリは、Google Play から削除される場合があります。

必要な対応

  1. Play Console にログインし、[アラート] セクションで該当するアプリや問題の解決期限を確認します。
  2. 該当のアプリを更新し、脆弱性を修正します。
  3. 該当するアプリの更新バージョンを送信します。

再送信すると、アプリは再度審査されます。審査には数時間ほどかかることがあります。アプリが審査に合格して正常に公開された場合は、これ以上の対応は不要です。アプリが審査に不合格となった場合、アプリの更新バージョンは公開されず、メールで通知が届きます。

その他の詳細

こちらから Mopub の最新バージョンをダウンロードできます。アップグレードについてサポートが必要な場合は、support@mopub.com にお問い合わせください。MoPub をバンドルするサードパーティのライブラリを使用している場合、MoPub 4.4.0 以降をバンドルするバージョンにアップグレードする必要があります。

この脆弱性の原因は、デフォルトの WebView 設定が削除されていないことです。攻撃者がこの脆弱性を悪用して、悪意のある JavaScript コードを広告クリエイティブで配信し、端末上にプライバシーに関わるローカル リソースが存在することを示唆できるようにするおそれがあります。API 16 より前のバージョンを使用する Android 搭載端末の場合、攻撃者はローカル リソースにアクセスもできるようになります。この他の技術的な不明点については、Stack Overflow にタグ「android-security」を使用してご投稿ください。

Jcenter AAR を使用してビルドする場合、バージョン番号を確認するには、Gradle の設定を調べて 4.4.0 を指定していることを確認してください。ソースから直接ビルドする場合や Gradle を使用しない場合、バージョン番号を確認するには、com.mopub.common.MoPub.java の SDK_VERSION を調べてください。

この問題が MoPub を使用するすべてのアプリに必ずしも影響するわけではありませんが、常に最新のセキュリティ パッチをすべて適用することをおすすめします。セキュリティ侵害の危険がある脆弱性を含むアプリは、悪意のある行為に関するポリシーと、デベロッパー販売 / 配布契約の第 4.4 項に違反すると判断される場合があります。

なお、アプリはデベロッパー販売 / 配布契約デベロッパー プログラム ポリシーにも準拠している必要があります。

サポートのご案内

脆弱性に関する技術的なご質問については、Stack Overflow にご投稿ください。その際、「android-security」タグをご利用ください。この問題を解決するための手順で不明な点がありましたら、デベロッパー サポートチームにお問い合わせください。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。