كيفية التصدي لثغرات Airpush الأمنية في تطبيقاتك

هذه المعلومات مخصصة لمطوِّري التطبيقات التي تستخدم إصدارًا من وسيط عرض الإعلانات Airpush يسبق الإصدار 8.1 أو 8.11 أو 8.12 أو 8.13 4.4.0. تحتوي هذه الإصدارات على ثغرة أمنية. يُرجى نقل تطبيقاتك إلى الإصدارات 8.1 أو 8.11 أو 8.12 أو 8.13 أو الإصدارات الأحدث في أقرب وقت ممكن وزيادة رقم الإصدار لحزمة APK التي تمت ترقيتها.

تحليل المشكلة

اعتبارًا من 11 يوليو (تموز) 2016، بدأ Google Play في حظر نشر أي تطبيقات أو تحديثات جديدة تستخدم الإصدارات القديمة من Airpush. يُرجى الرجوع إلى الإشعار في حسابك على Play Console. وبعد مرور المواعيد النهائية الموضّحة في حسابك على Play Console، قد تتم إزالة أيّ تطبيقات تحتوي على ثغرات أمنية لم يتم إصلاحها من Google Play.

الإجراء المطلوب​

1. سجِّل الدخول إلى حسابك على Play Console، وانتقِل إلى قسم "التنبيهات" لمعرفة التطبيقات المتأثرة بالثغرة الأمنية والمواعيد النهائية لحلّ هذه المشاكل.
2. حدِّث تطبيقاتك المتأثرة بالثغرة الأمنية وأصلِحها.
3. أرسِل النُسخ المُحدّثة من تطبيقاتك المتأثرة بالثغرة الأمنية.

وفور إعادة الإرسال، سيخضع تطبيقك للمراجعة مرة أخرى. ويمكن أن تستغرق هذه العملية عدة ساعات. إذا اجتاز التطبيق المراجعة وتم نشره بنجاح، لا يلزم اتخاذ أي إجراء آخر. وإذا تعذّر على التطبيق اجتياز المراجعة، لن يتم نشر إصدار التطبيق الجديد وستتلقى إشعارًا عبر البريد الإلكتروني.

تفاصيل إضافية

تمت معالجة الثغرة الأمنية في الإصدارات 8.1 و8.11 و8.12 و8.13. ويمكن تنزيل أحدث إصدارات Airpush SDK هنا من بوابة مطوِّري برامج Airpush على الإنترنت. يمكنك التأكد من رقم الإصدار من خلال التأكد من إصدار SDK وتاريخ الإصدار في ملف readme.txt داخل ملف ZIP. يحتوي مستند الدمج على روابط للإصدارات المعنيَّة 8.1 و8.11 و8.12 و8.13.

إذا كنت تريد الحصول على مزيد من المعلومات حول الترقية، فيمكنك التواصل مع Airpush باستخدام رابط مركز المساعدة عند تسجيل الدخول إلى حسابك في Airpush. أما إذا كنت تستخدم مكتبة تابعة لجهة خارجية وكانت هذه المكتبة تضم Airpush، يجب ترقيتها إلى إصدار يضم الإصدارات 8.1 و8.11 و8.12 و8.13 أو أحدث. 

يرجع سبب الثغرة الأمنية إلى وجود إعدادات WebView تلقائية لم يتم التحقق منها. ويمكن للمهاجمين استغلال هذه الثغرة الأمنية من خلال عرض رمز جافا سكريبت ضار داخل المواد الإبداعية الإعلانية مما يتيح له إمكانية استنتاج وجود موارد محلية تحتوي على معلومات خصوصية حساسة على الأجهزة. بالنسبة إلى أجهزة Android التي تحتوي على الإصدارات السابقة من API 16، يمكن للمهاجم الوصول إلى الموارد المحلية. وبالنسبة إلى الأسئلة التقنية الأخرى ذات الصلة بالثغرة الأمنية، يمكنك طرحها على موقع Stack Overflow واستخدام العلامتين "android-security" و"Airpush".

تجدر الإشارة إلى أنه من الأفضل أن تكون على اطّلاع دائم على جميع حِزم التصحيحات الأمنية، بالرغم من أن هذه المشاكل المحدّدة قد لا تؤثر في كل تطبيق يستخدم Airpush. وقد يتم اعتبار التطبيقات التي تتضمّن ثغرات أمنية تعرّض المستخدمين لخطر الاختراق أنها تنتهك سياسة السلوك الضار والبند 4.4 من "اتفاقية توزيع مطوّري البرامج".

يجب أيضًا أن تلتزم التطبيقات باتفاقية توزيع مطوّري البرامج وسياسات برنامج المطوِّرين. 

تسرّنا مساعدتك

إذا كان لديك أسئلة فنية بشأن الثغرات، يمكنك طرحها على موقع Stack Overflow واستخدام العلامة "android-security". لمزيد من التوضيح بشأن الخطوات المطلوبة لحلّ هذه المشكلة، يمكنك التواصل مع فريق دعم مطوّري البرامج.