Šī informācija ir paredzēta tādu lietotņu izstrādātājiem, kurām tiek izmantota reklāmu platformas MoPub versija, kas ir vecāka par 4.4.0. Šīs versijas ietver drošības ievainojamību.Lūdzu, pēc iespējas drīzāk migrējiet savu(-as) lietotni(-es) uz MoPub versiju 4.4.0 vai jaunāku versiju un palieliniet jauninātā APK versijas numuru.
Problēma
Sākot no 2016. gada 11. jūlija, pakalpojumā Google Play tiek liegta jebkuru jaunu lietotņu vai atjauninājumu publicēšana, kuros tiek izmantotas vecākas MoPub versijas. Lūdzu, skatiet paziņojumu savā Play Console kontā. Pēc jūsu Play Console kontā norādītajiem termiņiem no pakalpojuma Google Play var tikt noņemtas visas lietotnes, kurās nebūs novērsta drošības ievainojamība.
Nepieciešamā rīcība
- Pierakstieties savā Play Console kontā un sadaļā “Brīdinājumi” skatiet ietekmētās lietotnes un termiņus šo problēmu novēršanai.
- Atjauniniet savas ietekmētās lietotnes un novērsiet ievainojamību.
- Iesniedziet savu ietekmēto lietotņu atjauninātās versijas.
Pēc atkārtotas iesniegšanas jūsu lietotne tiks vēlreiz pārskatīta. Šis process var ilgt vairākas stundas. Ja pēc pārskatīšanas lietotne tiek apstiprināta un veiksmīgi publicēta, vairs nav jāveic nekādas darbības. Ja pēc pārskatīšanas lietotne netiek apstiprināta, tās jaunā versija netiek publicēta un jums tiek nosūtīts paziņojums pa e-pastu.
Papildinformācija
Lejupielādējiet jaunāko MoPub versiju šeit. Rakstiet uz e-pasta adresi support@mopub.com, ja jums ir nepieciešama palīdzība ar jaunināšanu. Ja izmantojat trešās puses bibliotēku, kas ietver MoPub, jums tā būs jājaunina uz versiju, kas ietver MoPub versiju 4.4.0 vai jaunāku versiju.
Ievainojamība radās nepiemērotu WebView noklusējuma iestatījumu dēļ. Uzbrucējs var izmantot šo ievainojamību, lai reklāmā ievietotu ļaunprātīgu JavaScript kodu, kas ļauj noteikt, vai ierīcēs ir konfidenciāli un sensitīvi lokālie resursi. Android ierīcēs ar versiju, kas jaunāka par API 16, uzbrucējs pat var piekļūt lokālajiem resursiem. Ja jums ir citi tehniski jautājumi, varat tos publicēt vietnē Stack Overflow, izmantojot atzīmes “android-security”.
Lai uzzinātu versijas numuru, ja izstrādei izmantojat Jcenter AAR, varat pārbaudīt savu Gradle konfigurāciju, vai tajā ir norādīta versija 4.4.0. Lai uzzinātu versijas numuru, ja izstrādei tieši izmantojat avota kodu vai neizmantojat Gradle, varat skatīt elementu com.mopub.common.MoPub.java, kas norāda SDK_VERSION.
Lai gan konkrētās problēmas var neietekmēt katru lietotni, kurā tiek izmantota platforma MoPub, ieteicams lietot visus jaunākos drošības ielāpus. Var tikt uzskatīts, ka ar tādām lietotnēm, kuru ievainojamība pakļauj lietotājus riskam, tiek pārkāpta mūsu politika par ļaunprātīgu rīcību un izstrādātāja izplatīšanas līguma 4.4. sadaļa.
Lietotnēm ir arī jāatbilst izstrādātāja izplatīšanas līgumam un izstrādātāju programmu politikām.
Mēs jums palīdzēsim
Ja jums ir tehniski jautājumi par ievainojamību, varat tos publicēt vietnē Stack Overflow, izmantojot atzīmi “android-security”. Lai uzzinātu, kā novērst šo problēmu, varat sazināties ar mūsu izstrādātāju atbalsta komandu.