Cette information est destinée aux développeurs d'applications qui utilisent une version de la plate-forme publicitaire Airpush antérieure aux versions 8.1, 8.11, 8.12 ou 8.13. Ces versions présentent une faille de sécurité. Veuillez migrer votre ou vos applications dès que possible vers la version 8.1, 8.11, 8.12, 8.13 ou version ultérieure, et modifier en conséquence le numéro de version du fichier APK mis à jour.
Que se passe-t-il ?
Depuis le 11 juillet 2016, la publication sur Google Play de nouvelles applications ou de mises à jour d'applications qui utilisent des versions vulnérables d'Airpush est bloquée. Veuillez consulter la notification dans la console Play. Passé les délais indiqués dans la console Play, toutes les applications présentant des failles de sécurité non résolues pourront être supprimées de Google Play.
Action requise
- Connectez-vous à la console Play et accédez à la section "Alertes" pour savoir quelles sont les applications concernées et connaître les délais à respecter pour résoudre ces problèmes.
- Mettez à jour les applications concernées et corrigez la faille.
- Envoyez les versions mises à jour des applications concernées.
Votre application sera à nouveau examinée. Le processus peut durer plusieurs heures. Si votre application est approuvée et publiée, aucune autre action de votre part n'est requise. Si l'application n'est pas approuvée, sa nouvelle version ne sera pas publiée, et vous recevrez une notification par e-mail.
Informations supplémentaires
Cette faille a été corrigée dans les versions 8.1, 8.11, 8.12 et 8.13. Vous pouvez télécharger les dernières versions du SDK Airpush ici à partir de votre portail développeur Airpush. Pour vérifier le numéro de la version que vous utilisez, vérifiez à la fois la version du SDK et la date de publication dans le fichier "readme.txt" du dossier ZIP. Le document "Integration" contient des liens vers la documentation des versions 8.1, 8.11, 8.12 et 8.13.
Pour en savoir plus sur la mise à jour, vous pouvez contacter Airpush à l'aide du lien vers le service d'assistance lorsque vous êtes connecté à votre compte Airpush. Si vous avez recours à une bibliothèque tierce qui inclut Airpush, vous devrez la mettre à jour pour utiliser une version qui inclut Airpush 8.1, 8.11, 8.12, 8.13 ou version ultérieure.
La faille est due à des paramètres WebView par défaut non rectifiés. Un pirate informatique peut exploiter cette faille en diffusant dans une création publicitaire un code JavaScript malveillant qui lui permettrait de déduire la présence de ressources locales confidentielles sur les appareils. Sur les appareils Android équipés de versions antérieures de l'API 16, cette personne pourrait même accéder aux ressources locales. Si vous avez d'autres questions techniques, vous pouvez publier un message sur le site Stack Overflow en utilisant les tags "android-security" et "Airpush".
Même si ces problèmes spécifiques n'affectent pas nécessairement toutes les applications qui utilisent Airpush, nous vous recommandons de vous tenir informé des correctifs de sécurité. Nous pouvons considérer que les applications qui présentent des failles risquant de compromettre la sécurité des utilisateurs ne respectent pas nos règles relatives au comportement malveillant ni la section 4.4 du contrat relatif à la distribution (pour les développeurs).
Les applications doivent également être conformes au Contrat relatif à la distribution (pour les développeurs) et au Règlement du programme Google Play (pour les développeurs).
Nous sommes là pour vous aider
Si vous avez des questions techniques sur cette faille, vous pouvez publier un message sur le site Stack Overflow en utilisant le tag "android-security". Si vous souhaitez obtenir des éclaircissements sur les étapes à suivre pour résoudre ce problème, vous pouvez contacter notre équipe d'assistance pour les développeurs.