מידע זה מיועד למפתחי אפליקציות המשתמשים בפלטפורמת המודעות Airpush, בגרסאות מוקדמות מהגרסאות הבאות: 8.1, 8.11, 8.12, או 4.4.0 8.13. גרסאות אלה מכילות נקודות תורפה באבטחה. יש להעביר את האפליקציות לגרסה 8.1, 8.11, 8.12 או 8.13 ואילך בהקדם האפשרי ולהגדיל את מספר הגרסה של ה-APK המשודרג.
מה קורה?
מה-11 ביולי 2016, Google Play החל לחסום פרסומים של אפליקציות או עדכונים חדשים שמשתמשים בגרסאות ישנות של Airpush. יש לעיין בהודעה שב-Play Console.לאחר המועדים האחרונים לתיקון שמוצגים ב-Play Console, אפליקציות שיכילו פרצות אבטחה לא מתוקנות יוסרו מ-Google Play.
הפעולה הנדרשת
- נכנסים לחשבון Play Console, ועוברים לקטע ההתראות כדי לבדוק אילו אפליקציות מושפעות מהבעיות ומהם המועדים האחרונים לתיקון.
- מעדכנים את האפליקציות המושפעות ומתקנים את פרצת האבטחה.
- שולחים את הגרסאות המעודכנות של האפליקציות המושפעות.
לאחר השליחה החוזרת, האפליקציה שלכם תיבדק שוב. תהליך זה עשוי להימשך כמה שעות. אם האפליקציה עוברת את הבדיקה ומתפרסמת בהצלחה, לא יהיה צורך בפעולה נוספת. אם האפליקציה תיכשל בבדיקה, גרסת האפליקציה החדשה לא תתפרסם ותקבלו התראה באימייל.
פרטים נוספים
נקודת התורפה טופלה בגרסאות 8.1, 8.11, 8.12 ו-8.13. ניתן להוריד כאן את הגרסאות העדכניות של Airpush SDK מפורטל המפתחים של Airpush. ניתן לאשר את מספר הגרסה על ידי בדיקה מוצלבת של גרסת ה-SDK ותאריך הפרסום בקובץ "readme.txt" שבקובץ ה-ZIP. הקישורים למסמכי האינטגרציה לגרסאות הם 8.1, 8.11, 8.12, ו-8.13, בהתאמה.
אם אתה זקוק למידע נוסף בנוגע לשדרוג, תוכל ליצור קשר עם Airpush בלחיצה על הקישור למרכז התמיכה בזמן הכניסה לחשבון Airpush. אם אתם משתמשים בספרייה של צד שלישי הכוללת את Airpush, יהיה צורך לשדרג אותה לגרסה הכוללת את גרסה 8.1, 8.11, 8.12, 8.13 ואילך של Airpush.
נקודת התורפה נובעת מהגדרות ברירת מחדל של WebView שאינה נקייה. תוקף עלול לנצל את נקודת התורפה הזו על ידי הוספת קוד JavaScript זדוני בקריאייטיב של פרסום. בעקבות זאת, תתאפשר גישה למשאבים מקומיים במכשירים. למכשירי Android עם הגרסה הקודמת של API 16, התוקף יכול אפילו לקבל גישה למשאבים מקומיים. לשאלות טכניות נוספות הקשורות לנקודת התורפה הזו, ניתן לפרסם פוסט באתר Stack Overflow ולהשתמש בתגים "android-security" ו-"Airpush".
הערה: אף על פי שייתכן שבעיות ספציפיות אלו לא משפיעות על כל אפליקציה שמשתמשת ב-Airpush, מומלץ להיות מעודכנים בכל תיקוני האבטחה. אפליקציות המכילות נקודות תורפה החושפות את המשתמשים לסיכון לפריצה עלולות להיחשב כהפרות של מדיניות ההתנהגות הזדונית ושל סעיף 4.4 בהסכם ההפצה למפתחים.
האפליקציות צריכות לעמוד גם בתנאים של הסכם ההפצה למפתחים ומדיניות התוכנית למפתחים.
אנחנו כאן כדי לעזור
אם יש לכם שאלות טכניות בנוגע לפגיעוּת זו, ניתן לפרסם פוסט באתר Stack Overflow ולהשתמש בתג “android-security”. משהו לא ברור בשלבים לפתרון הבעיה? ניתן לפנות אל צוות התמיכה שלנו למפתחים.