Az Airpush biztonsági réseinek kijavítása alkalmazásaidban

Ez az információ az olyan alkalmazások fejlesztőinek szól, amelyek az Airpush hirdetési platformjának a 8.1, 8.11, 8.12 vagy 8.13 4.4.0 előtti verzióját használják. Ezek a verziók biztonsági rést tartalmaznak. A lehető leghamarabb telepítsd át alkalmazásaidat az Airpush 8.1, 8.11, 8.12, 8.13 vagy újabb verziójára, és növeld a frissített APK-k verziószámát.

Mi történik?

2016. július 11-től kezdve a Google Play minden olyan új alkalmazás és frissítés közzétételét letiltja, amely az Airpush régebbi verzióit használja. Olvasd el a Play Console felületén lévő értesítést. A Play Console felületén látható határidők után eltávolítjuk a Google Playről azokat az alkalmazásokat, amelyekben még megtalálható a sebezhetőség.

Teendők​

  1. Jelentkezz be a Play Console felületén, majd tekintsd át az Értesítések oldalon az érintett alkalmazásokat és a problémák megoldásának határidőit.
  2. Készíts olyan frissítést az érintett alkalmazásokhoz, amely elhárítja a sebezhetőséget.
  3. Küldd be az érintett alkalmazások frissített verzióit.

A beküldés után alkalmazásodat ismét ellenőrizzük. A folyamat több órát is igénybe vehet. Ha az alkalmazás megfelel az ellenőrzésen, és ezt követően közzétesszük, nincs más teendőd. Ha az alkalmazás nem felel meg az ellenőrzésen, akkor nem tesszük közzé az új verziót, és e-mailben értesítést küldünk a fejleményről.

Részletek

Ezt a biztonsági rést a 8.1-es, 8.11-es, 8.12-es és 8.13-as verzióban kijavították. Az Airpush SDK legújabb verziói letölthetők az Airpush fejlesztői portálodról. A verziószámról úgy győződhetsz meg, hogy ellenőrzöd az SDK verzióját és kiadási dátumát a ZIP-fájlon belül található „readme.txt” fájlban. Az integrációs dokumentáció linkjei a következő verziókra vonatkoznak (rendre): 8.1, 8.11, 8.12 és a 8.13.

Ha további információt szeretnél a frissítéssel kapcsolatban, fordulj az Airpush csapatához – ezt az Airpush-fiókodba való bejelentkezést követően teheted meg, a Helpdesk linkre kattintva. Ha harmadik fél olyan függvénytárát használod, amely tartalmazza az Airpush szolgáltatást, akkor olyan verzióra kell frissítened, amelyben az Airpush 8.1-es, 8.11-es, 8.12-es és 8.13-as vagy újabb verziója található. 

A biztonsági rés oka a WebView néhány olyan alapértelmezett beállítása, amelyek nincsenek megtisztítva. A támadók úgy használhatják ki ezt a biztonsági rést, hogy rosszindulatú JavaScript-kódot jelenítenek meg a hirdetési kreatívban, aminek köszönhetően hozzáférhetnek az eszköz adatvédelmi szempontból érzékeny helyi erőforrásaihoz. Az API 16 korábbi verzióival rendelkező androidos eszközök esetén a támadó helyi erőforrásokhoz is hozzáférhet. Egyéb technikai jellegű kérdéseidet a Stack Overflow webhelyen, az „android-security” és az „Airpush” címkék használatával teheted fel.

Bár ezek a konkrét problémák nem feltétlenül vonatkoznak minden olyan alkalmazásra, amely az Airpush szolgáltatást használja, érdemes naprakésznek lenni a biztonsági javítások tekintetében. A biztonsági réseket tartalmazó, így a felhasználókat a támadások kockázatának kitevő alkalmazásokat olyan termékeknek tekinthetjük, amelyek sértik a rosszindulatú viselkedéssel kapcsolatos irányelveinket, illetve a Fejlesztői terjesztési megállapodás 4.4 szakaszát.

Az alkalmazásoknak meg kell felelniük a Fejlesztői terjesztési megállapodásban és a Fejlesztői programszabályzatban foglaltaknak is. 

Örömmel segítünk

A sebezhetőségre vonatkozó technikai kérdéseidet felteheted a Stack Overflow webhelyén, az „android-security” címkével ellátva. Ha a probléma megoldásának lépéseire vonatkozóan szeretnél tisztázni valamit, vedd fel a kapcsolatot fejlesztőtámogatási csapatunkkal.