本文面向的是发布的应用使用了低于 8.1、8.11、8.12 或 8.13 的 Airpush(一种广告平台)版本的开发者。低于上述版本的 Airpush 版本存在安全漏洞。请尽快将您的应用迁移到 8.1、8.11、8.12、8.13 或更高版本,并增加升级版 APK 的版本号。
问题说明
从 2016 年 7 月 11 日起,Google Play 开始禁止发布任何使用旧版 Airpush 的新应用或应用更新。请参阅 Play 管理中心内的通知。在 Play 管理中心内显示的截止日期过后,系统可能会将所有包含未修复安全漏洞的应用从 Google Play 中移除。
需要采取的行动
- 登录您的 Play 管理中心,然后转到“提醒”部分,了解受影响的应用以及解决这些问题的截止日期。
- 更新受影响的应用并修复该漏洞。
- 提交受影响应用的更新版本。
重新提交后,我们会重新审核您的应用。审核过程可能需要几个小时才能完成。如果应用通过审核并成功发布,便无需进一步操作。如果应用未通过审核,则新版应用将无法发布,您会收到电子邮件通知。
更多详细信息
此漏洞在 Airpush 8.1、8.11、8.12 和 8.13 中已得到解决。您可以从 Airpush 开发者门户网站下载最新版 Airpush SDK。通过反复核对 ZIP 内“readme.txt”文件中的 SDK 版本和发布日期即可确认版本号。各版本的整合文档关联分别为 8.1、8.11、8.12 和 8.13。
如需了解有关升级的详细信息,请在登录您的 Airpush 帐号后通过技术支持链接与 Airpush 联系。如果是您使用的第三方库捆绑了 Airpush,则需要将其升级到捆绑 8.1、8.11、8.12、8.13 或更高版本的版本。
此漏洞是由于默认 WebView 设置未经过处理而导致的。攻击者可能会通过在广告素材中投放恶意 JavaScript 代码来利用此漏洞,从而使自己能够推断相应设备上是否存在涉及隐私机密的本地资源。如果 Android 设备使用低于 16 的 API 版本,攻击者甚至可以在该设备上存取本地资源。如果您针对此漏洞还有其他技术方面的问题,您可以在 Stack Overflow 上发帖咨询(使用“android-security”和“Airpush”标签)。
尽管这些具体问题并非一定会影响使用 Airpush 的所有应用,但我们仍建议您安装所有最新的安全补丁。如果应用存在会让用户面临被入侵风险的漏洞,那么我们可能会将其视为违反恶意行为政策和《开发者分发协议》第 4.4 条的相关规定。
我们随时为您提供帮助
如果您针对此漏洞有技术方面的问题,可以在 Stack Overflow 上发帖咨询(使用“android-security”标签)。有关您需要采取哪些步骤来解决此问题的说明,请与我们的开发者支持团队联系。