Te informacije so namenjene razvijalcem aplikacij, ki uporabljajo različice oglasnega okolja Airpush, starejše od 8.1, 8.11, 8.12 ali 8.13 4.4.0. Te različice imajo varnostno ranljivost. Čim prej začnite uporabljati različice aplikacij 8.1, 8.11, 8.12 ali 8.13 ali novejšo različico in povečajte številko različice nadgrajenega APK-ja..
Kaj se dogaja?
11. julija 2016 je začel Google Play blokirati objavljanje novih aplikacij ali posodobitev, ki uporabljajo starejšo različico Airpusha. Preberite obvestilo v Konzoli Play. Morebitne aplikacije, ki imajo po rokih, navedenih v Konzoli Play, še vedno varnostne ranljivosti, bodo morda odstranjene iz Googla Play.
Potrebno ukrepanje
- Prijavite se v Konzolo Play in pojdite v razdelek Opozorila, kjer si lahko ogledate aplikacije, na katere se to nanaša, in roke, do katerih je treba odpraviti težave.
- Posodobite aplikacije, ki jih to zadeva, in odpravite ranljivost.
- Pošljite posodobljene različice aplikacij, ki jih to zadeva.
Ko aplikacijo znova pošljete, jo bomo spet pregledali. Ta postopek lahko traja več ur. Če aplikacija uspešno opravi pregled in je objavljena, ni potrebno dodatno ukrepanje. Če pregled ni uspešen, nova različica aplikacije ne bo objavljena in boste prejeli e-poštno obvestilo.
Dodatne informacije
Ranljivost je bila odpravljena v različicah 8.1, 8.11, 8.12 in 8.13. Najnovejše različice kompleta za razvoj programske opreme za Airpush je mogoče prenesti tukaj iz portala za razvijalce za Airpush. Številko različice lahko potrdite z navzkrižnim preverjanjem različice SDK-ja in datuma objave v datoteki »readme.txt« v arhivu ZIP. Povezave dokumenta za integracijo za posamezne različice so 8.1, 8.11, 8.12 in 8.13.
Če potrebujete več informacij glede nadgradnje, se lahko obrnete na Airpush prek povezave za stik s centrom za pomoč uporabnikom, ko ste prijavljeni v račun za Airpush. Če uporabljate knjižnico drugega ponudnika, v katerega je vključeno okolje Airpush, jo morate nadgraditi na različico, ki vključuje 8.1, 8.11, 8.12 in 8.13 ali novejšo različico okolja.
Ranljivost je zaradi neprečiščenih privzetih nastavitev mehanizma WebView. Napadalec lahko to ranljivost izkoristi tako, da v datoteko oglasa vključi zlonamerno kodo JavaScript, s čimer omogoči ugotovitev obstoja lokalnih virov v napravi, ki bi lahko ogrozili zasebnost. Pri napravah Android s prejšnjimi različicami API-ja 16 lahko napadalec celo dostopa do lokalnih virov. Če imate druga tehnična vprašanja glede ranljivosti, jih objavite v skupnosti Stack Overflow ter uporabite oznaki »android-security« in »Airpush«.
Te težave morda ne bodo vplivale na vse aplikacije, ki uporabljajo Airpush, vendar vseeno priporočamo, da imate vedno nameščene vse varnostne popravke. Aplikacije z ranljivostmi, ki uporabnike izpostavijo nevarnosti napada, bomo morda obravnavali, kot da kršijo pravilnik o zlonamernem vedenju in razdelek 4.4 pogodbe o distribuciji za razvijalce.
Aplikacije morajo biti prav tako skladne s pogodbo o distribuciji za razvijalce in pravilniki programa za razvijalce.
Tu smo, da vam pomagamo
Če imate tehnična vprašanja glede ranljivosti, jih objavite v skupnosti Stack Overflow in uporabite oznako »android-security«. Če potrebujete pojasnilo postopka, ki ga morate uporabiti za odpravljanje te težave, se lahko obrnete na skupino za podporo razvijalcem.