この情報は、アプリで広告プラットフォーム Airpush の 8.1、8.11、8.12、8.13 より前のバージョンを使用しているデベロッパーを対象としています。これらのバージョンにはセキュリティの脆弱性が含まれています。早急にアプリを Airpush 8.1、8.11、8.12、8.13 以降に移行し、アップグレードした APK のバージョン番号を更新してください。
状況
2016 年 7 月 11 日以降、Google Play では Airpush の 8.1、8.11、8.12、8.13 より前のバージョンを使用する新規アプリやアップデートの公開を禁止しています。詳しくは Play Console の通知をご覧ください。Play Console に表示されている期限を過ぎた後もセキュリティの脆弱性が修正されていないアプリは、Google Play から削除される場合があります。
必要な対応
- Play Console にログインし、[アラート] セクションで該当するアプリや問題の解決期限を確認します。
- 該当のアプリを更新し、脆弱性を修正します。
- 該当するアプリの更新バージョンを送信します。
再送信すると、アプリは再度審査されます。審査には数時間ほどかかることがあります。アプリが審査に合格して正常に公開された場合は、これ以上の対応は不要です。アプリが審査に不合格となった場合、アプリの更新バージョンは公開されず、メールで通知が届きます。
その他の詳細
この脆弱性は 8.1、8.11、8.12、8.13 で解決されています。最新バージョンの Airpush SDK は Airpush のデベロッパー ポータルからダウンロードできます。ZIP 内の「readme.txt」ファイルで SDK のバージョンとリリース日を参照すると、バージョン番号を確認できます。各バージョンの統合ドキュメントのリンクは、8.1、8.11、8.12、8.13 です。
アップグレードに関する詳細情報が必要な場合は、Airpush アカウントにログインしているときに、ヘルプデスクのリンクから Airpush に問い合わせることができます。Airpush をバンドルするサードパーティのライブラリを使用している場合、8.1、8.11、8.12、または 8.13 以降をバンドルするバージョンにアップグレードする必要があります。
この脆弱性の原因は、デフォルトの WebView 設定が削除されていないことです。攻撃者がこの脆弱性を悪用して、悪意のある JavaScript コードを広告クリエイティブで配信し、端末上にプライバシーに関わるローカル リソースが存在することを示唆できるようにするおそれがあります。API 16 より前のバージョンを使用する Android デバイスの場合、攻撃者はローカル リソースにアクセスもできるようになります。脆弱性に関するその他の技術的な不明点については、Stack Overflow にタグ「android-security」および「Airpush」を使用してご投稿ください。
この問題が Airpush を使用するすべてのアプリに影響するとは限りませんが、常に最新のセキュリティ パッチをすべて適用することをおすすめします。セキュリティ侵害の危険がある脆弱性を含むアプリは、悪意のある行為に関するポリシーと、デベロッパー販売 / 配布契約の第 4.4 項に違反すると判断される場合があります。
アプリはデベロッパー販売 / 配布契約とデベロッパー プログラム ポリシーに準拠している必要があります。
サポートのご案内
脆弱性に関する技術的なご質問については、Stack Overflow にご投稿ください。その際、「android-security」タグをご利用ください。この問題を解決するための手順で不明な点がありましたら、デベロッパー サポートチームにお問い合わせください。