Queste informazioni sono rivolte agli sviluppatori di app che utilizzano versioni della piattaforma di annunci Airpush precedenti alle versioni 8.1, 8.11, 8.12 oppure 8.13. Queste versioni presentano una vulnerabilità di sicurezza. Esegui appena possibile la migrazione delle tue app alle versioni 8.1, 8.11, 8.12, 8.13 o a versioni successive e incrementa il numero di versione dell'APK aggiornato.
Situazione attuale
Dall'11 luglio 2016 Google Play impedisce la pubblicazione di nuove app o aggiornamenti che usano versioni precedenti di Airpush. Leggi la notifica su Play Console. Dopo le scadenze indicate in Play Console, le app che contengono vulnerabilità di sicurezza non corrette potrebbero essere rimosse da Google Play.
Azione richiesta
- Accedi a Play Console e vai alla sezione Avvisi per scoprire quali app sono interessate dai problemi e le scadenze per risolverli.
- Aggiorna le app interessate e correggi la vulnerabilità.
- Invia le versioni aggiornate delle app interessate.
Quando invii nuovamente le app, queste vengono riesaminate. Questa procedura può richiedere diverse ore. Se l'app supera il controllo e viene pubblicata correttamente, non sono necessari ulteriori interventi. Se invece l'app non supera il controllo, la nuova versione dell'app non verrà pubblicata e riceverai una notifica via email.
Ulteriori dettagli
La vulnerabilità è stata risolta nelle versioni 8.1, 8.11, 8.12 e 8.13. Le versioni più recenti dell'SDK di Airpush possono essere scaricate qui dal portale per gli sviluppatori di Airpush. Puoi verificare il numero della versione mediante un controllo incrociato della versione dell'SDK e della data di pubblicazione nel file "readme.txt" all'interno del file ZIP. I link di integrazione dei documenti per le rispettive versioni sono 8.1, 8.11, 8.12 e 8.13.
Se hai bisogno di altre informazioni sull'upgrade, puoi contattare Airpush utilizzando il link dell'assistenza quando sei collegato al tuo account Airpush. Se utilizzi una libreria di terze parti che comprende Airpush, dovrai eseguire l'upgrade a una versione con 8.1, 8.11, 8.12, 8.13 oppure con una versione successiva.
La vulnerabilità è dovuta a impostazioni WebView predefinite non sottoposte a sanitizzazione. Un malintenzionato potrebbe sfruttare questa vulnerabilità per pubblicare codice JavaScript dannoso in una creatività pubblicitaria e consentire così di individuare l'esistenza di risorse locali sensibili sul dispositivo. Sui dispositivi Android con versioni dell'API precedenti alla 16, il malintenzionato potrebbe persino riuscire ad accedere alle risorse locali. Puoi pubblicare altre domande tecniche relative alla vulnerabilità su Stack Overflow utilizzando i tag "android-security" e "Airpush".
Anche se questi problemi specifici potrebbero non riguardare ogni app che utilizza Airpush, è meglio essere sempre aggiornati su tutte le patch di sicurezza. Le app con vulnerabilità che mettono a rischio la sicurezza degli utenti potrebbero essere considerate in violazione delle nostre norme relative al comportamento dannoso e della sezione 4.4 del Contratto di distribuzione per gli sviluppatori.
Le app devono inoltre essere conformi al Contratto di distribuzione per gli sviluppatori e alle Norme del programma per gli sviluppatori.
Siamo qui per aiutarti
Puoi pubblicare eventuali domande tecniche relative alla vulnerabilità su Stack Overflow con il tag "android-security". Per chiarimenti sui passaggi da seguire per risolvere il problema, puoi contattare il nostro team di assistenza per gli sviluppatori.