Die folgenden Informationen richten sich an Entwickler von Apps, die eine Version der Werbeplattform Airpush vor den Versionen 8.1, 8.11, 8.12, oder 8.13 4.4.0 verwenden. Diese Versionen enthalten eine Sicherheitslücke. Aktualisieren Sie Ihre Apps so bald wie möglich auf Version 8.1, 8.11, 8.12, 8.13 oder höher und erhöhen Sie die Versionsnummer des aktualisierten APK.
Aktuelle Informationen
Seit dem 11. Juli 2016 blockiert Google Play die Veröffentlichung sämtlicher neuer Apps und Updates, bei denen ältere Versionen von Airpush verwendet werden. Weitere Informationen dazu finden Sie in der entsprechenden Nachricht in der Play Console. Nachdem die in der Play Console angezeigten Fristen abgelaufen sind, werden alle Apps, die nicht behobene Sicherheitslücken enthalten, aus Google Play entfernt.
Erforderliche Maßnahmen
- Melden Sie sich in der Play Console an und gehen Sie zum Bereich "Warnmeldungen". Dort sehen Sie, welche Apps betroffen sind und bis wann Sie diese Probleme beheben müssen.
- Aktualisieren Sie die betroffenen Apps und beheben Sie die Sicherheitslücke.
- Reichen Sie aktualisierte Versionen Ihrer betroffenen Apps ein.
Nachdem Ihre App neu eingereicht wurde, wird sie noch einmal überprüft. Dieser Vorgang kann mehrere Stunden dauern. Wenn die App die Überprüfung besteht und veröffentlicht wurde, sind keine weiteren Maßnahmen erforderlich. Falls die App die Überprüfung nicht besteht, wird die neue App-Version nicht veröffentlicht und Sie erhalten eine Benachrichtigung per E-Mail.
Zusätzliche Informationen
Die Sicherheitslücke wurde in 8.1, 8.11, 8.12, und 8.13 behoben. Sie können die aktuellen Versionen des Airpush-SDK aus Ihrem Airpush-Entwicklerportal herunterladen. Die Versionsnummer finden Sie in der ZIP-Datei in der Datei readme.txt neben der SDK-Version und dem Veröffentlichungsdatum. Die jeweiligen mit den Integrationsdokumenten verknüpften Versionen sind 8.1, 8.11, 8.12 und 8.13.
Wenn Sie beim Ausführen des Upgrades Hilfe benötigen, können Sie sich in Ihrem Airpush-Konto über den Helpdesk-Link an Airpush wenden. Wenn Sie eine Bibliothek eines Drittanbieters verwenden, die Airpush enthält, müssen Sie ein Upgrade auf eine Version mit Airpush 8.1, 8.11, 8.12, 8.13 oder höher ausführen.
Die Sicherheitslücke ist auf nicht ordnungsgemäße Standard-WebView-Einstellungen zurückzuführen. Durch diese Sicherheitslücke kann ein Angreifer unter Umständen schädlichen JavaScript-Code in ein Werbe-Creative einfügen und so Rückschlüsse auf das Vorhandensein sensibler lokaler Ressourcen auf den Geräten ziehen. Auf Android-Geräten mit einer früheren Version von API 16 kann der Angreifer sogar auf lokale Ressourcen zugreifen. Sonstige technische Fragen zu der Schwachstelle können Sie auf Stack Overflow posten. Bitte verwenden Sie dabei die Tags "android-security" und "Airpush".
Obwohl sich diese Probleme möglicherweise nicht auf alle Apps auswirken, in denen Airpush verwendet wird, ist es empfehlenswert, sämtliche Sicherheitspatches zu installieren. Apps mit Sicherheitslücken, durch die Nutzer zu Schaden kommen können, werden unter Umständen als Verstoß gegen unsere Richtlinien zu böswilligem Verhalten und den Abschnitt 4.4 der Vereinbarung für den Entwicklervertrieb eingestuft.
Apps müssen auch der Vereinbarung für den Entwicklervertrieb sowie den Programmrichtlinien für Entwickler entsprechen.
Hilfe und Support
Technische Fragen zu dieser Sicherheitslücke können Sie bei Stack Overflow posten. Bitte verwenden Sie dabei das Tag "android-security". Weitere Informationen zu den Maßnahmen, die zur Lösung dieses Problems erforderlich sind, erhalten Sie von unserem Entwicklersupportteam.