Informasi ini ditujukan bagi pengembang aplikasi yang memanfaatkan Airpush, suatu platform iklan, sebelum versi 8.1, 8.11, 8.12, or 8.13 4.4.0. Versi ini memiliki kerentanan keamanan. Harap migrasikan aplikasi Anda ke versi 8.1, 8.11, 8.12, 8.13, atau yang lebih tinggi sesegera mungkin, dan naikkan nomor versi APK yang telah diupgrade.
Yang terjadi
Mulai 11 Juli 2016, Google Play memblokir publikasi aplikasi baru atau update apa pun yang menggunakan Airpush versi lama. Silakan lihat pemberitahuan di Play Console. Setelah batas waktu yang ditampilkan di Play Console, aplikasi apa pun yang memiliki kerentanan keamanan yang belum diperbaiki akan dihapus dari Google Play.
Tindakan yang diperlukan
- Login ke Play Console, dan buka bagian Notifikasi untuk melihat aplikasi mana yang terpengaruh dan batas waktu untuk menyelesaikan masalah ini.
- Update aplikasi yang terpengaruh dan perbaiki kerentanannya.
- Kirimkan versi terupdate aplikasi Anda yang terpengaruh.
Setelah pengiriman ulang, aplikasi Anda akan ditinjau kembali. Proses ini dapat memerlukan waktu beberapa jam. Jika aplikasi lolos dari proses peninjauan dan dipublikasikan, Anda tidak perlu melakukan tindakan lebih lanjut. Jika aplikasi gagal dalam proses peninjauan, versi aplikasi baru tidak akan dipublikasikan dan Anda akan menerima email notifikasi.
Detail tambahan
Masalah kerentanan telah diatasi pada versi 8.1, 8.11, 8.12, dan 8.13. Versi terbaru SDK Airpush dapat diunduh di sini dari portal pengembang Airpush. Anda dapat mengonfirmasi nomor versi dengan memeriksa versi SDK dan tanggal perilisan di file “readme.txt” di dalam ZIP. Tautan dokumen integrasi untuk versi masing-masing adalah 8.1, 8.11, 8.12, dan 8.13.
Jika butuh informasi lebih lanjut tentang meningkatkan versi, hubungi Airpush dengan menggunakan tautan Helpdesk saat masuk ke akun Airpush Anda. Jika Anda menggunakan library pihak ketiga yang memaketkan Airpush, Anda perlu melakukan upgrade ke versi yang memaketkan 8.1, 8.11, 8.12, dan 8.13 atau lebih tinggi.
Kerentanan ini disebabkan oleh setelan WebView default yang bermasalah. Penyerang dapat mengekploitasi kerentanan ini dengan menyajikan kode JavaScript berbahaya di materi iklan, sehingga keberadaan sumber daya lokal yang bersifat sensitif dan pribadi di perangkat dapat diketahui. Untuk perangkat Android dengan versi di bawah API 16, penyerang bahkan dapat mengakses resource lokal. Untuk pertanyaan teknis lainnya yang berhubungan dengan kerentanan, Anda dapat mengirim postingan ke Stack Overflow dan menggunakan tag “android-security” dan “Airpush”.
Meski masalah ini mungkin tidak memengaruhi setiap aplikasi yang menggunakan Airpush, sebaiknya selalu update semua patch keamanan. Aplikasi dengan kerentanan yang bisa membuat pengguna berisiko disusupi dapat dianggap melanggar kebijakan Perilaku Berbahaya dan pasal 4.4 Perjanjian Distribusi Developer.
Aplikasi juga harus mematuhi Perjanjian Distribusi Developer dan Kebijakan Program Developer.
Kami siap membantu
Jika ada pertanyaan teknis tentang kerentanan, Anda dapat mengirim postingan ke Stack Overflow dan menggunakan tag “android-security”. Untuk penjelasan tentang langkah-langkah yang diperlukan untuk menyelesaikan masalah ini, Anda dapat menghubungi tim dukungan developer.