Řešení chyb zabezpečení platformy Airpush v aplikacích

Tyto informace jsou určeny vývojářům aplikací, kteří používají jakoukoli verzi reklamní platformy Airpush starší než 8.1, 8.11, 8.12 nebo 8.13. Tyto verze obsahují chybu zabezpečení. Co nejdříve aplikace migrujte na platformu verze 8.1, 8.11, 8.12, 8.13 nebo novější a zvyšte číslo verze upgradovaného souboru APK.

K čemu dochází

Od 11. července 2016 služba Google Play blokuje publikování nových aplikací a aktualizací, které používají starší verze platformy Airpush. Další informace najdete v oznámení ve službě Play Console. Po termínech uvedených v Play Console mohou být aplikace s neopravenými chybami zabezpečení z Google Play odstraněny.

Vyžadovaná akce

  1. Přihlaste se do Play Console a přejděte do sekce Upozornění, kde zjistíte, kterých aplikací se tento problém týká a do kdy je potřeba jej vyřešit.
  2. Aktualizujte dotčené aplikace a chybu zabezpečení opravte.
  3. Odešlete aktualizované verze dotčených aplikací.

Po odeslání bude aplikace znovu zkontrolována. Tento proces může trvat několik hodin. Pokud aplikace při kontrole projde a bude úspěšně publikována, není potřeba podnikat žádné další kroky. Jestliže aplikace při kontrole neprojde, nová verze aplikace nebude publikována a obdržíte e‑mailem oznámení.

Další podrobnosti

Tato chyba zabezpečení byla vyřešena ve verzích 8.1, 8.11, 8.12 a 8.13. Nejnovější verzi sady SDK platformy Airpush si můžete stáhnout pomocí portálu pro vývojáře Airpush. Číslo verze můžete ověřit tak, že porovnáte verzi sady SDK a datum vydání, které je uvedeno v archivu ZIP v souboru readme.txt. Odkazy dokumentu integrace pro jednotlivé verze jsou 8.1, 8.11, 8.12 a 8.13.

Potřebujete-li o upgradu další informace, přihlaste se k účtu Airpush a použijte odkaz na centrum nápovědy společnosti Airpush. Pokud používáte knihovnu třetí strany, která obsahuje platformu Airpush, bude potřeba přejít na verzi knihovny s platformou verze 8.1, 8.11, 8.12, 8.13 nebo novější. 

Chyba zabezpečení je způsobena neošetřeným nastavením komponenty WebView. Útočník by tuto chybu mohl poskytnutím škodlivého kódu JavaScript prostřednictvím reklamní kreativy zneužít k odvození existence místních zdrojů citlivých z hlediska ochrany soukromí. V zařízeních Android s předchozími verzemi rozhraní API 16 může útočník k místním zdrojům dokonce získat přístup. Máte-li ohledně této chyby zabezpečení jiné technické dotazy, publikuje příspěvek na webu Stack Overflow. Použijte štítky „android-security“ a „Airpush“.

Ačkoli tyto konkrétní problémy nemusejí mít dopad na každou aplikaci, která používá platformu Airpush, doporučujeme instalovat všechny opravy zabezpečení. Aplikace s chybami zabezpečení, které uživatele vystavují riziku zneužití, mohou být považovány za produkty, jež porušují naše zásady ohledně škodlivého chováníodstavec 4.4 distribuční smlouvy pro vývojáře.

Aplikace také musí být v souladu s distribuční smlouvou pro vývojářeprogramovými zásadami pro vývojáře

Rádi vám poradíme

Máte-li ohledně této zranitelnosti technické dotazy, publikuje příspěvek na webu Stack Overflow. Použijte štítek „android-security“. Pokud potřebujete poradit s jednotlivými kroky k řešení tohoto problému, obraťte se na náš tým podpory pro vývojáře.