Aceste informații sunt destinate dezvoltatorilor de aplicații care folosesc versiuni ale platformei publicitare MoPub anterioare versiunii 4.4.0. Aceste versiuni conțin o vulnerabilitate de securitate. Migrați aplicațiile la MoPub v4.4.0 sau la o versiune ulterioară cât mai curând și incrementați numărul versiunii fișierului APK căruia i s-a făcut upgrade.
Ce se întâmplă
Începând din 11 iulie 2016, Google Play va bloca publicarea tuturor aplicațiilor noi și a actualizărilor care folosesc versiuni MoPub mai vechi. Consultați notificarea din Play Console. După termenele limită afișate în Play Console, toate aplicațiile care conțin vulnerabilități de securitate neremediate pot fi eliminate din Google Play.
Acțiune necesară
- Conectați-vă la Play Console și navigați la secțiunea Alerte ca să vedeți ce aplicații sunt afectate și care sunt termenele limită pentru remedierea problemelor.
- Actualizați aplicațiile afectate și remediați vulnerabilitatea.
- Trimiteți versiunile actualizate ale aplicațiilor afectate.
După retrimiterea solicitării, aplicația dvs. va fi examinată din nou. Procesul poate dura câteva ore. Dacă aplicația trece de etapa de examinare și este publicată, nu mai este necesară nicio acțiune din partea dvs. Dacă aplicația nu trece de examinare, noua versiune a aplicației nu va fi publicată și veți primi o notificare prin e-mail.
Detalii suplimentare
Descărcați cea mai recentă versiune MoPub de aici. Contactați support@mopub.com dacă aveți nevoie de ajutor privind upgrade-ul. Dacă folosiți o bibliotecă terță parte care include MoPub, va trebui să faceți upgrade la o versiune care include MoPub 4.4.0 sau o versiune ulterioară.
Vulnerabilitatea este cauzată de setările prestabilite WebView deteriorate. Un atacator poate să exploateze această vulnerabilitate difuzând un cod JavaScript rău-intenționat într-un material publicitar, astfel încât să poată deduce existența resurselor locale sensibile prin natura lor confidențială de pe dispozitive. Pentru dispozitivele Android cu versiuni anterioare versiunii 16 a API-ului, atacatorul poate chiar să acceseze resursele locale. Pentru alte întrebări tehnice, puteți să postați pe Stack Overflow și să folosiți etichetele „android-security”.
Pentru a confirma numărul versiunii, dacă compilați folosind Jcenter AAR, puteți să verificați configurarea Gradle și să vă asigurați că aceasta indică versiunea 4.4.0. Pentru a confirma numărul versiunii, dacă compilați direct din sursă sau dacă nu folosiți Gradle, puteți consulta com.mopub.common.MoPub.java pentru SDK_VERSION.
Deși este posibil ca aceste probleme să nu afecteze fiecare aplicație care folosește MoPub, este de preferat să actualizați cu toate corecțiile de securitate. Este posibil ca aplicațiile cu vulnerabilități care expun utilizatorii riscului de compromitere a securității să fie considerate neconforme cu politica privind Comportamentul rău-intenționat și cu secțiunea 4.4 din Acordul de distribuire pentru dezvoltatori.
Aplicațiile trebuie să respecte Acordul de distribuire pentru dezvoltatori și Politicile de produs pentru dezvoltatori.
Vă stăm la dispoziție pentru ajutor
Dacă aveți întrebări tehnice cu privire la vulnerabilitate, puteți posta pe Stack Overflow, cu eticheta „android-security”. Pentru clarificarea pașilor necesari pentru remedierea acestei probleme, contactați echipa de asistență pentru dezvoltatori.