Te informacje są przeznaczone dla deweloperów, których aplikacje korzystają z platformy reklamowej Airpush w wersji starszej niż 8.1, 8.11, 8.12 lub 8.13 4.4.0. Są to wersje, które zawierają lukę w zabezpieczeniach. Jak najszybciej przeprowadź migrację aplikacji do wersji 8.1, 8.11, 8.12, 8.13 lub nowszej i zwiększ numer wersji uaktualnionego pliku APK.
O co chodzi?
Od 11 lipca 2016 roku Google Play blokuje publikowanie nowych aplikacji i aktualizacji korzystających ze starszych wersji Airpush. Zapoznaj się z powiadomieniem w Konsoli Play. Po przekroczeniu terminów wskazanych w Konsoli Play wszystkie aplikacje z lukami w zabezpieczeniach mogą zostać usunięte z Google Play.
Wymagane działania
- Zaloguj się w Konsoli Play i przejdź do sekcji Alerty, by sprawdzić, których aplikacji dotyczy problem i jaki jest termin jego rozwiązania.
- Zaktualizuj te aplikacje i usuń lukę w zabezpieczeniach.
- Prześlij zaktualizowane wersje tych aplikacji.
Po ponownym przesłaniu aplikacja zostanie jeszcze raz sprawdzona. Ten proces może potrwać kilka godzin. Jeśli aplikacja pomyślnie przejdzie weryfikację i zostanie opublikowana, nie musisz już nic robić. Jeśli wynik weryfikacji nie będzie pomyślny, nowa wersja aplikacji nie zostanie opublikowana, a Ty otrzymasz powiadomienie e-mailem.
Dodatkowe szczegóły
Luka w zabezpieczeniach została usunięta w wersjach 8.1, 8.11, 8.12 i 8.13. Najnowsze wersje pakietu SDK Airpush można pobrać z portalu dla programistów Airpush. Możesz sprawdzić, czy korzystasz z prawidłowej wersji pakietu, porównując wersję SDK z datą wydania zawartą w pliku „readme.txt”, który znajduje się w archiwum ZIP. Linki w dokumencie integracji dla poszczególnych wersji to odpowiednio 8.1, 8.11, 8.12 i 8.13.
Jeśli chcesz dowiedzieć się więcej o uaktualnieniu, możesz skontaktować się z firmą Airpush – wystarczy, że zalogujesz się na konto Airpush i klikniesz link do pomocy technicznej (Helpdesk). Jeśli używasz biblioteki zewnętrznej, która zawiera usługę Airpush w pakiecie, musisz ją uaktualnić do wersji obejmującej wersje 8.1, 8.11, 8.12, 8.13 lub nowsze.
Luka w zabezpieczeniach jest spowodowana niewłaściwymi ustawieniami domyślnymi WebView. Atakujący może ją wykorzystać, umieszczając złośliwy kod JavaScript w reklamie, co z kolei umożliwia wykrycie poufnych danych w zasobach lokalnych na urządzeniu. Na urządzeniach z Androidem zawierających wcześniejsze wersje interfejsu API 16 atakujący może nawet uzyskać dostęp do zasobów lokalnych. Jeśli masz pytania techniczne związane z tą luką, możesz je opublikować na stronie Stack Overflow, używając tagów „android-security” i „Airpush”.
Te problemy nie muszą pojawić się w każdej aplikacji używającej Airpush, ale najlepiej jest na bieżąco wprowadzać wszelkie poprawki zabezpieczeń. Aplikacje z lukami narażającymi użytkowników na niebezpieczeństwo możemy uznać za niezgodne z zasadami dotyczącymi złośliwego zachowania i sekcją 4.4 Umowy dystrybucyjnej dla deweloperów.
Aplikacje muszą być też zgodne z Umową dystrybucyjną dla deweloperów i Zasadami programu dla deweloperów.
Chętnie Ci pomożemy
Jeśli masz pytania techniczne związane z tą luką w zabezpieczeniach, możesz je opublikować na Stack Overflow, używając tagu „android-security”. Jeśli potrzebujesz wyjaśnienia czynności potrzebnych do rozwiązania tego problemu, skontaktuj się z naszym zespołem pomocy dla deweloperów.