Esta información está destinada a los desarrolladores de aplicaciones que utilizan versiones de Airpush (una plataforma publicitaria) anteriores a la versión 8.1, 8.11, 8.12 o 8.13. Estas versiones contienen una vulnerabilidad de seguridad. Migra tus aplicaciones a la versión 8.1, 8.11, 8.12, 8.13 o una posterior lo antes posible e incrementa el número de versión de los APK actualizados.
¿Qué va a cambiar?
El 11 de julio del 2016, Google Play empezó a bloquear la publicación de aplicaciones y actualizaciones que usaban versiones anteriores de Airpush. Consulta el aviso en Play Console. Una vez que finalice el plazo indicado en Play Console, es posible que las aplicaciones que contengan vulnerabilidades de seguridad sin corregir se retiren de Google Play.
Acción necesaria
- Inicia sesión en Play Console y ve a la sección Alertas para consultar qué aplicaciones están afectadas y las fechas límite para resolver estos problemas.
- Actualiza las aplicaciones afectadas y corrige la vulnerabilidad.
- Envía las versiones actualizadas de las aplicaciones afectadas.
Cuando vuelvas a enviar tus aplicaciones, se revisarán de nuevo. Este proceso puede tardar varias horas en completarse. Si una aplicación supera el proceso de revisión y se publica, no tendrás que hacer nada más. De lo contrario, la nueva versión de la aplicación no se publicará y recibirás una notificación por correo electrónico.
Información adicional
La vulnerabilidad se solucionó en las versiones 8.1, 8.11, 8.12 y 8.13. Puedes descargar las últimas versiones del SDK de Airpush en el portal de desarrolladores de esta plataforma. Para confirmar el número de versión, haz una comprobación cruzada de la fecha de lanzamiento y la versión del SDK en "readme.txt", situado dentro del archivo ZIP. Los enlaces de los documentos de integración para las versiones correspondientes son 8.1, 8.11, 8.12 y 8.13.
Si necesitas más información sobre la actualización, puedes ponerte en contacto con Airpush a través del enlace de asistencia al iniciar sesión en tu cuenta de esta plataforma. Si utilizas una biblioteca externa que incluya Airpush, debes actualizarla a una versión con Airpush 8.1, 8.11, 8.12, 8.13 o versiones posteriores.
La vulnerabilidad se debe a la configuración por defecto no segura de WebView. Es posible que un atacante pueda aprovechar esta vulnerabilidad para proporcionar un código JavaScript malicioso en una creatividad de publicidad y deducir la existencia de recursos locales potencialmente confidenciales en los dispositivos. En los dispositivos Android con versiones anteriores a la API 16, el atacante puede acceder incluso a recursos locales. Si tienes alguna otra pregunta técnica relacionada con la vulnerabilidad, puedes publicarla en Stack Overflow utilizando las etiquetas "android-security" y "Airpush".
Ten en cuenta que, aunque es posible que estos problemas específicos no afecten a todas las aplicaciones que utilicen Airpush, te recomendamos que mantengas todos los parches de seguridad actualizados. Es posible que se considere que las aplicaciones con vulnerabilidades que supongan un riesgo para la seguridad de los usuarios infringen la política de comportamiento malicioso y la sección 4.4 del Acuerdo de Distribución para Desarrolladores de Google Play.
Asimismo, las aplicaciones deben cumplir el Acuerdo de Distribución para Desarrolladores y las políticas del programa para desarrolladores.
Queremos ayudarte
Si tienes alguna pregunta técnica sobre esta vulnerabilidad, puedes publicarla en Stack Overflow con la etiqueta "android-security". Ponte en contacto con nuestro equipo de asistencia para desarrolladores si necesitas más información para resolver este problema.