Estas informações destinam-se aos programadores de aplicações que utilizam versões da plataforma de anúncios Airpush anteriores à versão 8.1, 8.11, 8.12 ou 8.13 4.4.0. Estas versões contêm uma vulnerabilidade de segurança. Migre as suas aplicações para as versões 8.1, 8.11, 8.12 ou 8.13 ou superior assim que possível e aumente o número de versão do APK atualizado.
O que está a acontecer
A partir de 11 de julho de 2016, o Google Play começou a bloquear a publicação de novas aplicações ou atualizações que utilizem versões antigas do Airpush. Consulte o aviso na Play Console. Após os prazos apresentados na Play Console, as aplicações que contenham vulnerabilidades de segurança não corrigidas poderão ser removidas do Google Play.
Ação necessária
- Inicie sessão na Play Console e navegue até à secção Alertas para ver quais as aplicações afetadas e os prazos para resolver estes problemas.
- Atualize as aplicações afetadas e corrija a vulnerabilidade.
- Envie as versões atualizadas das aplicações afetadas.
Depois de voltar a enviar, a sua aplicação será revista novamente. Este processo pode demorar várias horas. Se a aplicação passar na revisão e for publicada com êxito, não será necessária qualquer ação adicional. Se a aplicação falhar na revisão, a nova versão da aplicação não será publicada e receberá uma notificação por email.
Detalhes adicionais
A vulnerabilidade foi resolvida nas versões 8.1, 8.11, 8.12 e 8.13. Pode transferir as versões mais recentes do SDK do Airpush a partir do portal do programador do Airpush. Pode confirmar o número de versão ao consultar a versão do SDK e a data de lançamento no ficheiro "readme.txt" dentro do ZIP. Os links dos documentos de Integração para as respetivas versões são 8.1, 8.11, 8.12 e 8.13.
Se precisar de mais informações relacionadas com a atualização, pode contactar a Airpush ao utilizar o link do Apoio ao cliente depois de iniciar sessão na sua conta Airpush. Se utilizar uma biblioteca de terceiros que agregue o Airpush, tem de a atualizar para uma versão que agregue as versões 8.1, 8.11, 8.12 e 8.13 ou superior.
A vulnerabilidade resulta de predefinições do WebView perigosas. Um utilizador mal-intencionado pode explorar esta vulnerabilidade ao publicar um código JavaScript malicioso num criativo de publicidade e, assim, permitir inferir a existência de recursos locais sensíveis do ponto de vista da privacidade nos dispositivos. Nos dispositivos Android com as versões anteriores da API 16, o utilizador mal-intencionado pode mesmo aceder aos recursos locais. Para outras questões técnicas relacionadas com a vulnerabilidade, pode publicar uma mensagem no Stack Overflow e utilizar as etiquetas "android-security" e "Airpush".
Apesar de estes problemas específicos poderem não afetar todas as aplicações que utilizam o Airpush, é melhor manter-se atualizado no que respeita a todos os patches de segurança. As aplicações com vulnerabilidades que expõem os utilizadores ao risco de comprometimento podem ser consideradas infratoras da nossa Política de Comportamento Malicioso e da secção 4.4 do Contrato de Distribuição para Programadores.
As aplicações também devem estar em conformidade com o Contrato de Distribuição para Programadores e as Políticas do Programa para Programadores.
Estamos aqui para ajudar
Se tiver perguntas técnicas acerca da vulnerabilidade, pode publicar uma mensagem no Stack Overflow e utilizar a etiqueta "android-security". Para obter um esclarecimento sobre os passos que tem de efetuar para resolver este problema, pode contactar a nossa equipa de apoio técnico a programadores.