Como lidar com as vulnerabilidades do MoPub em seus apps

Estas informações são destinadas aos desenvolvedores de apps que usam o software da plataforma de anúncios MoPub em versões anteriores à 4.4.0. Elas têm uma vulnerabilidade de segurança.Faça a migração dos seus apps para o MoPub v4.4.0 ou posterior assim que possível e aumente o número da versão do APK atualizado.

O que está acontecendo

Em 11 de julho de 2016, o Google Play começou a bloquear a publicação de novos apps ou atualizações que usam versões mais antigas do MoPub. Consulte o aviso no Play Console.Após os prazos exibidos no Play Console, todos os apps com vulnerabilidades de segurança não corrigidas poderão ser removidos do Google Play.

Ação necessária​

  1. Faça login no Play Console e acesse a seção "Alertas" para ver os apps afetados e os prazos para resolver os problemas.
  2. Atualize esses apps e corrija a vulnerabilidade.
  3. Envie as versões atualizadas dos apps afetados.

Após o reenvio, seu app será revisado novamente. Esse processo pode levar várias horas. Se o app for aprovado na revisão e publicado, nenhuma outra ação será necessária. Se ele for reprovado, a nova versão não será publicada, e você receberá uma notificação por e-mail.

Detalhes adicionais

Faça o download da versão mais recente do MoPub aqui. Entre em contato com support@mopub.com se você precisar de ajuda com o upgrade. Se você usar uma biblioteca de terceiros que inclui o MoPub, será preciso fazer upgrade para uma versão que inclua o MoPub 4.4.0 ou superior.

A vulnerabilidade se deve a configurações padrão não limpas do WebView. Os invasores podem explorar essa vulnerabilidade veiculando um código JavaScript malicioso em um criativo de publicidade, o que possibilita inferir a existência de recursos locais privados nos dispositivos. Nos dispositivos Android com versões da API anteriores à 16, o invasor pode até mesmo acessar os recursos locais. Para outras dúvidas técnicas, poste no Stack Overflow (site em inglês) e use a tag "android-security".

Para confirmar o número da versão, caso você use o AAR do Jcenter no desenvolvimento, verifique a configuração de Gradle e certifique-se de que ela leve à versão 4.4.0. Caso você faça o desenvolvimento diretamente da fonte ou não use Gradle, verifique o número da versão em com.mopub.common.MoPub.java para SDK_VERSION.

Ainda que esses problemas específicos não afetem todos os apps que usam o MoPub, recomendamos manter todos os patches de segurança atualizados. Os apps com vulnerabilidades que expõem usuários a risco de comprometimento podem ser considerados produtos que violam a política de Comportamento malicioso e a seção 4.4 do Contrato de distribuição do desenvolvedor.

Os apps também precisam estar em conformidade com o Contrato de distribuição do desenvolvedor e as Políticas do programa para desenvolvedores

Estamos aqui para ajudar

Se você tiver dúvidas técnicas sobre a vulnerabilidade, escreva uma postagem no Stack Overflow e use a tag "android-security". Caso precise de mais informações sobre as etapas necessárias para resolver esse problema, entre em contato com nossa equipe de suporte ao desenvolvedor.

Isso foi útil?
Como podemos melhorá-lo?