Как устранить уязвимость MoPub в приложениях

Информация в статье предназначена для разработчиков, в чьих приложениях используется платформа MoPub версии ниже 4.4.0. Эти приложения содержат уязвимость системы безопасности. Как можно скорее перейдите на MoPub версии 4.4.0 или выше, обновите свои приложения и измените номер версии APK-файла.

Что происходит

С 11 июля 2016 года в Google Play нельзя публиковать приложения и обновления, которые используют устаревшие версии MoPub. Вам необходимо принять меры до даты, указанной в Play Console. После нее приложения, содержащие уязвимость, могут быть удалены из Google Play.

Что нужно сделать

  1. Чтобы узнать, какие приложения уязвимы и как скоро нужно устранить проблему, войдите в Play Console и откройте раздел "Оповещения".
  2. Устраните уязвимость и обновите затронутые ей приложения.
  3. Опубликуйте обновленные версии приложений.

После этого мы проведем повторную проверку, которая может занять несколько часов. Если уязвимость устранена и вы видите, что приложение опубликовано, дополнительных действий не потребуется. Если проблема не решена, новая версия не будет опубликована и вы получите уведомление по электронной почте.

Сведения об уязвимости

Скачайте последнюю версию MoPub. Если у вас есть вопросы, связанные с обновлением, напишите на адрес support@mopub.com. Если вы используете библиотеку стороннего разработчика, которая включает MoPub, обновите ее до версии с MoPub 4.4.0 или выше.

Обнаруженная уязвимость связана с настройками WebView по умолчанию. Таким образом, злоумышленник может обнаружить конфиденциальные локальные ресурсы устройств, применив в рекламном продукте вредоносный код JavaScript. На устройствах Android с версией API ниже 16, злоумышленник может получить доступ к этим ресурсам. Если у вас есть вопросы, задайте их, используя тег android-security.

Чтобы проверить номер версии при сборке приложения с помощью Jcenter AAR, откройте конфигурацию Gradle и убедитесь, что в ней указано 4.4.0. Если вы собираете приложение непосредственно из исходного кода или не работаете с Gradle, вы можете использовать com.mopub.common.MoPub.java (SDK_VERSION).

Хотя описанная выше уязвимость может быть не во всех приложениях, использующих MoPub, мы рекомендуем своевременно устанавливать все обновления, связанные с безопасностью. Если приложение подвергает риску данные пользователей, оно может быть расценено как вредоносное. Кроме того, такие приложения нарушают Соглашение о распространении программных продуктов (раздел 4.4).

Приложения должны соответствовать условиям Соглашения о распространении программных продуктов и Правилам программы для разработчиков

Мы всегда рады помочь!

Если у вас есть вопросы, задайте их, используя тег android-security. Чтобы получить более подробные разъяснения, свяжитесь с командой поддержки для разработчиков.

Эта информация оказалась полезной?
Как можно улучшить эту статью?