Estas informações destinam-se aos programadores de aplicações que utilizam qualquer versão da plataforma de anúncios MoPub anterior à versão 4.4.0. Estas versões contêm uma vulnerabilidade de segurança.Migre as suas aplicações para a versão 4.4.0 ou superior do MoPub assim que possível e aumente o número de versão do APK atualizado.
O que está a acontecer
A partir de 11 de julho de 2016, o Google Play bloqueia a publicação de novas aplicações ou atualizações que utilizem versões mais antigas do MoPub. Consulte o aviso na Play Console. Após os prazos apresentados na Play Console, as aplicações que contenham vulnerabilidades de segurança não corrigidas poderão ser removidas do Google Play.
Ação necessária
- Inicie sessão na Play Console e navegue até à secção Alertas para ver quais as aplicações afetadas e os prazos para resolver estes problemas.
- Atualize as aplicações afetadas e corrija a vulnerabilidade.
- Envie as versões atualizadas das aplicações afetadas.
Depois de voltar a enviar, a sua aplicação será revista novamente. Este processo pode demorar várias horas. Se a aplicação obtiver a aprovação na revisão e for publicada com êxito, não será necessária qualquer ação adicional. Se a aplicação falhar na revisão, a nova versão da aplicação não será publicada e receberá uma notificação por email.
Detalhes adicionais
Transfira a versão mais recente do MoPub aqui. Contacte support@mopub.com se precisar de ajuda relacionada com a atualização. Se estiver a utilizar uma biblioteca de terceiros que agregue o MoPub, tem de a atualizar para uma versão que agregue a versão 4.4.0 ou superior do MoPub.
A vulnerabilidade resulta de predefinições do WebView perigosas. Um utilizador mal-intencionado pode explorar esta vulnerabilidade ao publicar um código JavaScript malicioso num criativo de publicidade e, assim, permitir inferir a existência de recursos locais sensíveis do ponto de vista da privacidade nos dispositivos. Nos dispositivos Android com as versões anteriores da API 16, o utilizador mal-intencionado pode mesmo aceder aos recursos locais. Para outras questões técnicas, pode publicar uma mensagem no Stack Overflow e utilizar a etiqueta "android-security".
Para confirmar o número de versão se estiver a programar com o AAR do Jcenter, verifique a configuração do Gradle e certifique-se de que esta aponta para a versão 4.4.0. Para confirmar o número de versão se estiver a programar diretamente a partir da fonte ou não estiver a utilizar o Gradle, procure SDK_VERSION em com.mopub.common.MoPub.java.
Apesar de estes problemas específicos poderem não afetar todas as aplicações que utilizam o MoPub, é melhor manter-se atualizado no que respeita a todos os patches de segurança. As aplicações com vulnerabilidades que expõem os utilizadores ao risco de comprometimento podem ser consideradas infratoras da nossa Política de Comportamento Malicioso e da secção 4.4 do Contrato de Distribuição para Programadores.
As aplicações também devem estar em conformidade com o Contrato de Distribuição para Programadores e as Políticas do Programa para Programadores.
Estamos aqui para ajudar
Se tiver perguntas técnicas acerca da vulnerabilidade, pode publicar uma mensagem no Stack Overflow e utilizar a etiqueta "android-security". Para obter um esclarecimento sobre os passos que tem de efetuar para resolver este problema, pode contactar a nossa equipa de apoio técnico a programadores.