Информация в статье предназначена для разработчиков, в чьих приложениях используется платформа MoPub версии ниже 4.4.0. Эти приложения содержат уязвимость системы безопасности. Как можно скорее перейдите на MoPub версии 4.4.0 или выше, обновите свои приложения и измените номер версии APK-файла.
Что происходит
С 11 июля 2016 года в Google Play нельзя публиковать приложения и обновления, которые используют устаревшие версии MoPub. Вам необходимо принять меры до даты, указанной в Play Console. После нее приложения, содержащие уязвимость, могут быть удалены из Google Play.
Что нужно сделать
- Чтобы узнать, какие приложения уязвимы и как скоро нужно устранить проблему, войдите в Play Console и откройте раздел "Оповещения".
- Устраните уязвимость и обновите затронутые ей приложения.
- Опубликуйте обновленные версии приложений.
После этого мы проведем повторную проверку, которая может занять несколько часов. Если уязвимость устранена и вы видите, что приложение опубликовано, дополнительных действий не потребуется. Если проблема не решена, новая версия не будет опубликована и вы получите уведомление по электронной почте.
Сведения об уязвимости
Скачайте последнюю версию MoPub. Если у вас есть вопросы, связанные с обновлением, напишите на адрес support@mopub.com. Если вы используете библиотеку стороннего разработчика, которая включает MoPub, обновите ее до версии с MoPub 4.4.0 или выше.
Обнаруженная уязвимость связана с настройками WebView по умолчанию. Таким образом, злоумышленник может обнаружить конфиденциальные локальные ресурсы устройств, применив в рекламном продукте вредоносный код JavaScript. На устройствах Android с версией API ниже 16, злоумышленник может получить доступ к этим ресурсам. Если у вас есть вопросы, задайте их, используя тег android-security.
Чтобы проверить номер версии при сборке приложения с помощью Jcenter AAR, откройте конфигурацию Gradle и убедитесь, что в ней указано 4.4.0. Если вы собираете приложение непосредственно из исходного кода или не работаете с Gradle, вы можете использовать com.mopub.common.MoPub.java (SDK_VERSION).
Хотя описанная выше уязвимость может быть не во всех приложениях, использующих MoPub, мы рекомендуем своевременно устанавливать все обновления, связанные с безопасностью. Если приложение подвергает риску данные пользователей, оно может быть расценено как вредоносное. Кроме того, такие приложения нарушают Соглашение о распространении программных продуктов (раздел 4.4).
Приложения должны соответствовать условиям Соглашения о распространении программных продуктов и Правилам программы для разработчиков.
Мы всегда рады помочь!
Если у вас есть вопросы, задайте их, используя тег android-security. Чтобы получить более подробные разъяснения, свяжитесь с командой поддержки для разработчиков.