Aquesta informació va dirigida als desenvolupadors d'aplicacions que fan servir versions d'Airpush (una plataforma publicitària) anteriors a la 8.1, 8.11, 8.12 o 8.13. Aquestes versions contenen una vulnerabilitat de seguretat. Migra les teves aplicacions a les versions 8.1, 8.11, 8.12 o 8.13 o una de posterior al més aviat possible i augmenta el número de versió de l'APK actualitzat.
Què passa
A partir de l'11 de juliol de 2016, Google Play va començar a bloquejar la publicació de les aplicacions o les actualitzacions noves que utilitzessin versions d'Airpush més antigues. Consulta l'avís a Play Console. Després de les dates límit que es mostren a Play Console, és possible que les aplicacions que presentin vulnerabilitats de seguretat sense solucionar se suprimeixin de Google Play.
Acció necessària
- Inicia la sessió a Play Console i navega per la secció Alertes per consultar quines aplicacions es veuen afectades i les dates límit per resoldre aquests problemes.
- Actualitza les aplicacions afectades i soluciona la vulnerabilitat.
- Envia les versions actualitzades de les aplicacions afectades.
Un cop hagis tornat a enviar l'aplicació, la tornarem a revisar. Aquest procés pot tardar diverses hores. Si l'aplicació supera la revisió i es publica correctament, no cal dur a terme cap altra acció. Si l'aplicació no supera la revisió, no se'n publicarà la versió nova i rebràs una notificació per correu electrònic.
Detalls addicionals
La vulnerabilitat es va solucionar a les versions 8.1, 8.11, 8.12 i 8.13. Pots baixar les versions més recents de l'SDK d'Airpush des del portal per a desenvolupadors d'aquesta plataforma. Pots confirmar el número de versió verificant la versió i la data de llançament de l'SDK al fitxer "readme.txt" inclòs al ZIP. Els enllaços al document d'integració per a les versions respectives són 8.1, 8.11, 8.12 i 8.13.
Si necessites més informació sobre com fer l'actualització, pots contactar amb Airpush utilitzant l'enllaç al servei d'assistència amb la sessió iniciada al compte d'Airpush. Si utilitzes la biblioteca d'un tercer en què s'inclou Airpush, l'has d'actualitzar a una versió que inclogui la versió 8.1, 8.11, 8.12, 8.13 o una de posterior.
Aquesta vulnerabilitat està causada perquè la configuració predeterminada de WebView és defectuosa. Un atacant podria aprofitar aquesta vulnerabilitat per publicar un codi JavaScript maliciós en una creativitat publicitària, amb la qual cosa li seria possible deduir l'existència de recursos locals dels dispositius que poden ser confidencials. En el cas dels dispositius Android amb versions anteriors de l'API 16, l'atacant fins i tot podria accedir als recursos locals. Per resoldre altres dubtes tècnics relacionats amb aquesta vulnerabilitat, publica les teves preguntes a Stack Overflow amb les etiquetes "android-security" i "Airpush".
Tot i que és possible que aquests problemes concrets no afectin totes les aplicacions que utilitzen Airpush, és millor tenir tots els pedaços de seguretat actualitzats. Es pot considerar que les aplicacions amb vulnerabilitats que suposen un risc per als usuaris de perdre informació confidencial infringeixen la nostra política sobre comportament maliciós i la secció 4.4 de l'Acord de distribució per a desenvolupadors.
Les aplicacions també han de complir l'Acord de distribució per a desenvolupadors i les polítiques del programa per a desenvolupadors.
Som aquí per ajudar-te
Si tens cap dubte tècnic sobre la vulnerabilitat, pots publicar les teves preguntes a Stack Overflow amb l'etiqueta "android-security". Per aclarir els passos que has de seguir per resoldre aquest problema, pots contactar amb el nostre equip d'assistència per a desenvolupadors.