Esta información está destinada a programadores de apps que usan versiones de la plataforma de anuncios Airpush anteriores a las 8.1, 8.11, 8.12 o 8.13. Esas versiones anteriores contienen una vulnerabilidad de seguridad. Migra tus apps a Airpush 8.1, 8.11, 8.12, 8.13 o versiones posteriores lo antes posible y aumenta el número de versión del APK actualizado.
Novedades
A partir del 11 de julio de 2016, Google Play comenzó a bloquear la publicación de apps nuevas o actualizaciones que usan versiones anteriores de Airpush. Consulta la notificación en tu cuenta de Play Console. Después de los plazos que aparecen en Play Console, es posible que se eliminen de Google Play todas las apps que contengan vulnerabilidades de seguridad no resueltas.
Acción necesaria
- Accede a tu cuenta de Play Console y desplázate a la sección "Alertas" para ver qué apps están afectadas, así como los plazos para resolver los problemas.
- Actualiza las apps afectadas y corrige la vulnerabilidad.
- Envía las versiones actualizadas de las apps afectadas.
Una vez que las hayas reenviado, revisaremos tu app nuevamente. Este proceso puede demorar varias horas. Si la app pasa la revisión y se publica sin problemas, no se requiere ninguna otra acción. Si la app no pasa la revisión, no se publicará la nueva versión, y recibirás una notificación por correo electrónico.
Detalles adicionales
La vulnerabilidad se solucionó en las versiones 8.1, 8.11, 8.12 y 8.13. Descarga las versiones más recientes del SDK de Airpush en tu portal de programadores de Airpush. Puedes confirmar el número de versión si verificas la versión del SDK y la fecha de lanzamiento en el archivo "readme.txt" que se encuentra en el ZIP. Los vínculos de los documentos de integración para las respectivas versiones son 8.1, 8.11, 8.12 y 8.13.
Si necesitas más información sobre cómo actualizar, comunícate con Airpush mediante el vínculo de ayuda que aparece cuando accedes con tu cuenta de Airpush. Si usas la biblioteca de un tercero que incluya Airpush, deberás actualizarla para que contenga la versión 8.1, 8.11, 8.12, 8.13 o una posterior.
La vulnerabilidad se debe a problemas en la configuración predeterminada de WebView. Un atacante podría aprovechar esta vulnerabilidad y publicar un código JavaScript malicioso en la creatividad de un anuncio, lo que posibilitaría la interferencia en los recursos locales privados de los dispositivos. En dispositivos con versiones anteriores de API 16, el atacante incluso podría acceder a los recursos locales. Si tienes otras preguntas técnicas sobre la vulnerabilidad, puedes publicar comentarios en Stack Overflow y usar las etiquetas "android-security" y "Airpush".
Si bien es posible que estos problemas no afecten a todas las apps que usan Airpush, es aconsejable que mantengas todos los parches de seguridad actualizados. Es posible que las apps con vulnerabilidades que comprometan la seguridad de los usuarios se consideren en incumplimiento con nuestra Política de Comportamiento Malicioso y el Artículo 4.4 del Acuerdo de Distribución para Desarrolladores.
Las apps también deben cumplir con el Acuerdo de Distribución para Desarrolladores y las Políticas del Programa para Desarrolladores.
Estamos aquí para ayudarte
Si tienes preguntas técnicas sobre la vulnerabilidad, publícalas en Stack Overflow con la etiqueta "android-security". Si tienes dudas sobre los pasos que debes seguir para resolver este problema, comunícate con nuestro equipo de asistencia para desarrolladores.