如何處理應用程式中的 Airpush 安全漏洞

開發人員請注意,如果您的應用程式使用 8.1、8.11、8.12 或 8.13 4.4.0 之前版本的 Airpush 廣告平台,請詳閱本文資訊,因為這些版本存在安全漏洞。請儘快將您的應用程式升級至 8.1、8.11、8.12 或 8.13 以上版本,並依照累加原則為升級的 APK 設定版本號碼。

問題說明

自 2016 年 7 月 11 日起,只要新的應用程式或更新內容使用了舊版 Airpush,一律禁止在 Google Play 發布。請參閱 Play Console 的通知內容。Play Console 顯示的修正期限過後,Google Play 會將尚未修復安全漏洞的應用程式下架。

須採取行動​

  1. 登入 Play Console,然後前往「快訊」專區查看受影響的應用程式以及解決這些問題的期限。
  2. 更新受影響的應用程式並修復安全漏洞。
  3. 提交受影響應用程式的更新版本。

我們將再次審查您重新提交的應用程式,過程可能需要數小時。如果應用程式可以通過審查並成功發布,您就不必採取進一步行動。如果應用程式未能通過審查,就無法發布新的版本,而且您將收到電子郵件通知。

其他詳細資訊

8.1、8.11、8.12 和 8.13 版已解決安全漏洞問題。您可以從 Airpush 開發人員入口網站下載最新版的 Airpush SDK。如要確認您的版本號碼,請開啟 ZIP,然後交叉比對「readme.txt」檔案中的 SDK 版本和發佈日期。各版本的整合文件連結分別是 8.1、8.11、8.12 和 8.13。

如需更多升級相關資訊,請登入您的 Airpush 帳戶,然後使用 Helpdesk (服務台) 連結與 Airpush 聯絡。如果您使用的第三方程式庫包含 Airpush,請升級至包含 Airpush 8.1、8.11、8.12 和 8.13 或以上版本的程式庫。

預設的 WebView 設定若未經過處理,就會造成安全性漏洞。攻擊者可利用這個漏洞,在廣告素材中植入惡意 JavaScript 程式碼,進而推斷裝置上存在涉及隱私機密的本機資源。對於使用 API 16 以下版本的 Android 裝置,攻擊者甚至可以存取本機資源。如有其他安全漏洞相關的技術問題,請前往 Stack Overflow 張貼問題並加上「android-security」和「Airpush」標記。

雖然這些特定問題不一定會對所有使用 Airpush 的應用程式造成影響,我們仍建議您安裝所有最新的安全性修補程式。如果應用程式有安全漏洞,導致使用者的資料有外洩之虞,我們就可能將該應用程式視為違反《惡意行為政策》和《開發人員發布協議》第 4.4 條。

此外,應用程式也必須遵循《開發人員發布協議》和《開發人員計畫政策》。

我們很樂意提供協助

如有關於安全漏洞的技術問題,請前往 Stack Overflow 張貼問題並加上「android-security」標記。如需進一步瞭解這個問題的解決步驟,歡迎與開發人員支援小組聯絡。

這對您有幫助嗎?

我們應如何改進呢?
false
主選單
18428943874539491781
true
搜尋說明中心
true
true
true
true
true
5016068
false
false