Denne informasjonen er beregnet på apputviklere som bruker en tidligere versjon av Airpush – som er en annonseplattform – enn 8.1, 8.11, 8.12 eller 8.13 4.4.0. Disse versjonene inneholder en sikkerhetssvakhet. Oppgrader appene dine til 8.1, 8.11, 8.12, 8.13 eller høyere så snart som mulig, og øk versjonsnummeret for den oppgraderte APK-en.
Hva skjer?
Fra og med 11. juli 2016 begynte Google Play å blokkere publisering av nye apper eller oppdateringer som bruker gamle versjoner av Airpush. Les varselet i Play-konsollen. Alle apper som inneholder uløste sikkerhetssvakheter, kan bli fjernet fra Google Play etter tidsfristene som vises i Play-konsollen din.
Handling kreves
- Logg på Play Console og gå til Varsler-delen for å se hvilke apper som er berørt samt tidsfristene for å løse disse problemene.
- Oppdater de berørte appene og løs sikkerhetssvakheten.
- Send inn de oppdaterte versjonene av de berørte appene.
Hvis du sender apper inn igjen, blir de vurdert på nytt. Denne prosessen kan ta flere timer. Hvis gjennomgangen er vellykket og appene publiseres som de skal, trenger du ikke å iverksette ytterligere tiltak. Hvis gjennomgangen mislykkes, publiseres ikke de nye appversjonene, og du mottar et e-postvarsel.
Flere detaljer
Svakheten er rettet opp i 8.1, 8.11, 8.12 og 8.13. De nyeste versjonene av Airpush-SDK-en kan lastes ned fra portalen til Airpush-utvikleren. Du kan bekrefte versjonsummeret ved å kryssjekke SDK-versjonen mot utgivelsesdatoen du finner i «readme.txt» i ZIP-filen. Linkene til integrasjonsdokumentene for de respektive versjonene er 8.1, 8.11, 8.12 og 8.13.
Hvis du trenger mer informasjon om oppgraderingen, kan du kontakte Airpush ved hjelp av Helpdesk-linken når du er logget på Airpush-kontoen din. Hvis du bruker et tredjepartsbibliotek som inkluderer Airpush, må du oppgradere til en versjon som leveres med 8.1, 8.11, 8.12, 8,13 eller høyere.
Svakheten skyldes urene standardinnstillinger for WebView. Angripere kan utnytte denne svakheten ved å bruke ondsinnet Javascript-kode i annonsereklamer, noe som gjør det mulig å fastslå at det finnes lokale ressurser med personopplysninger på enhetene. For Android-enheter med eldre versjoner av API 16 kan angriperne til og med få tilgang til de lokale ressursene. Hvis du har andre tekniske spørsmål om svakheten, kan du publisere dem på Stack Overflow med taggene «android-security» og «Airpush».
Disse spesifikke problemene gjelder ikke nødvendigvis for alle apper som bruker Airpush, men det er likevel best å holde seg oppdatert på alle sikkerhetspatcher (feilrettinger). Apper med svakheter som utsetter brukere for sikkerhetsrisiko, kan anses for å bryte med retningslinjene våre for «ondsinnet atferd» og del 4.4 av distribusjonsavtalen for utviklere.
Apper må også være i samsvar med distribusjonsavtalen for utviklere og programretningslinjene for utviklere.
Vi hjelper deg gjerne
Hvis du har tekniske spørsmål om sikkerhetsproblemet, kan du skrive et innlegg på Stack Overflow og bruke «android-security»-etiketten. Hvis du vil ha mer informasjon om hva du må gjøre for å løse dette problemet, kan du kontakte brukerstøtteteamet for utviklere.