Αυτές οι πληροφορίες αφορούν προγραμματιστές εφαρμογών που αξιοποιούν εκδόσεις του Airpush (πλατφόρμα διαφημίσεων) προγενέστερες των εκδόσεων 8.1, 8.11, 8.12 και 8.13 4.4.0. Αυτές οι εκδόσεις περιέχουν μια ευπάθεια ασφαλείας. Μεταφέρετε τις εφαρμογές σας στην έκδοση 8.1, 8.11, 8.12 ή 8.13 ή σε μια νεότερη έκδοση το συντομότερο δυνατό και αυξήστε τον αριθμό της έκδοσης του αναβαθμισμένου APK.
Τι συμβαίνει
Από τις 11 Ιουλίου 2016, το Google Play άρχισε να αποκλείει τη δημοσίευση νέων εφαρμογών ή ενημερώσεων που χρησιμοποιούν παλαιότερες εκδόσεις του Airpush. Ανατρέξτε στην ειδοποίηση στο Play Console. Μετά την πάροδο των προθεσμιών που εμφανίζονται στο Play Console, όλες οι εφαρμογές με ευπάθειες ασφαλείας που δεν έχουν αντιμετωπιστεί μπορεί να καταργηθούν από το Google Play.
Απαιτείται ενέργεια
- Συνδεθείτε στο Play Console και μεταβείτε στην ενότητα Ειδοποιήσεις για να δείτε τις επηρεαζόμενες εφαρμογές και τις προθεσμίες για την επίλυση των σχετικών ζητημάτων.
- Ενημερώστε τις επηρεαζόμενες εφαρμογές και διορθώστε την ευπάθεια.
- Υποβάλετε τις ενημερωμένες εκδόσεις των επηρεαζόμενων εφαρμογών.
Μετά την επανυποβολή, η εφαρμογή σας θα ελεγχθεί ξανά. Αυτή η διαδικασία μπορεί να διαρκέσει αρκετές ώρες. Εάν ο έλεγχος της εφαρμογής ολοκληρωθεί χωρίς προβλήματα και η εφαρμογή δημοσιευτεί με επιτυχία, τότε δεν απαιτείται καμία άλλη ενέργεια. Εάν ο έλεγχος της εφαρμογής αποτύχει, τότε η νέα έκδοση της εφαρμογής δεν θα δημοσιευτεί και θα λάβετε σχετική ειδοποίηση με ένα μήνυμα ηλεκτρονικού ταχυδρομείου.
Πρόσθετα στοιχεία
Η συγκεκριμένη ευπάθεια έχει αντιμετωπιστεί στις εκδόσεις 8.1, 8.11, 8.12 και 8.13. Μπορείτε να κατεβάσετε τις πιο πρόσφατες εκδόσεις του Airpush SDK από εδώ, μέσω της πύλης ανάπτυξης του Airpush. Μπορείτε να επαληθεύσετε τον αριθμό έκδοσης ελέγχοντας την έκδοση και την ημερομηνία έκδοσης του SDK στο αρχείο “readme.txt” στο αρχείο ZIP. Οι σύνδεσμοι ενσωμάτωσης εγγράφου για τις αντίστοιχες εκδόσεις είναι 8.1, 8.11, 8.12 και 8.13.
Αν χρειάζεστε περισσότερες πληροφορίες σχετικά με την αναβάθμιση, μπορείτε να επικοινωνήσετε με την Airpush χρησιμοποιώντας τον σύνδεσμο Helpdesk μετά τη σύνδεσή σας στον λογαριασμό σας Airpush. Εάν χρησιμοποιείτε μια βιβλιοθήκη τρίτου μέρους η οποία περιλαμβάνει το Airpush, θα χρειαστεί να την αναβαθμίσετε σε μια έκδοση που περιλαμβάνει την έκδοση 8.1, 8.11, 8.12, 8.13 ή μεταγενέστερη.
Η ευπάθεια οφείλεται στις μη ασφαλείς προεπιλεγμένες ρυθμίσεις του WebView. Ένας εισβολέας μπορεί να εκμεταλλευτεί αυτήν την ευπάθεια αποστέλλοντας κακόβουλο κώδικα JavaScript σε κάποιο δημιουργικό διαφήμισης, καθιστώντας δυνατό τον εντοπισμό απόρρητων τοπικών πόρων στις συσκευές. Για συσκευές Android με προηγούμενες εκδόσεις του API 16, ο εισβολέας μπορεί ακόμη και να αποκτήσει πρόσβαση στους τοπικούς πόρους. Για άλλες τεχνικές ερωτήσεις σχετικά με την ευπάθεια, μπορείτε να δημοσιεύσετε τις ερωτήσεις σας στον ιστότοπο Stack Overflow χρησιμοποιώντας τις ετικέτες "android-security" και "Airpush".
Παρόλο που αυτά τα συγκεκριμένα προβλήματα ενδέχεται να μην επηρεάζουν κάθε εφαρμογή που χρησιμοποιεί το Airpush, είναι προτιμότερο να διατηρείτε ενημερωμένες τις εφαρμογές σας με όλες τις ενημερώσεις κώδικα ασφαλείας. Οι εφαρμογές με ευπάθειες που εκθέτουν τους χρήστες σε κίνδυνο παραβίασης μπορεί να θεωρηθούν ότι παραβαίνουν την πολιτική μας για την Κακόβουλη συμπεριφορά καθώς και την ενότητα 4.4 του Συμφωνητικού διανομής για προγραμματιστές.
Οι εφαρμογές πρέπει επίσης να συμμορφώνονται με το Συμφωνητικό διανομής για προγραμματιστές και τις Πολιτικές προγράμματος για προγραμματιστές.
Είμαστε εδώ για να σας βοηθήσουμε
Εάν έχετε τεχνικές ερωτήσεις σχετικά με τη συγκεκριμένη ευπάθεια, μπορείτε να τις δημοσιεύσετε στον ιστότοπο Stack Overflow με την ετικέτα "android-security". Για διευκρινίσεις σχετικά με τα βήματα που πρέπει να ακολουθήσετε για την επίλυση του προβλήματος, μπορείτε να επικοινωνήσετε με την ομάδα υποστήριξης προγραμματιστών.