Como lidar com as vulnerabilidades do Airpush em seus apps

Estas informações são destinadas aos desenvolvedores de apps que usam o software da plataforma de anúncios Airpush em versões anteriores à 8.1, 8.11, 8.12 ou 8.13. Elas têm uma vulnerabilidade de segurança. Faça a migração dos seus apps para a versão 8.1, 8.11, 8.12, 8.13 ou posterior assim que possível e aumente o número da versão do APK atualizado.

O que está acontecendo

Em 11 de julho de 2016, o Google Play passou a bloquear a publicação de novos apps ou atualizações com versões mais antigas do Airpush. Consulte o aviso no Play ConsoleApós os prazos exibidos no Play Console, todos os apps com vulnerabilidades de segurança não corrigidas poderão ser removidos do Google Play.

Ação necessária​

  1. Faça login no Play Console e acesse a seção "Alertas" para ver os apps afetados e os prazos para resolver os problemas.
  2. Atualize esses apps e corrija a vulnerabilidade.
  3. Envie as versões atualizadas dos apps afetados.

Após o reenvio, seu app será revisado novamente. Esse processo pode levar várias horas. Se o app for aprovado na revisão e publicado, nenhuma outra ação será necessária. Se ele for reprovado, a nova versão não será publicada, e você receberá uma notificação por e-mail.

Detalhes adicionais

A vulnerabilidade foi corrigida nas versões 8.1, 8.11, 8.12 e 8.13. Faça o download das versões mais recentes do SDK do Airpush no portal de desenvolvedores do Airpush. É possível confirmar o número da versão verificando a versão do SDK e a data de lançamento no arquivo "readme.txt" do ZIP. Os links dos documentos de integração das respectivas versões são os seguintes: 8.1, 8.11, 8.12 e 8.13.

Se você precisar de mais informações sobre o upgrade, entre em contato com o Airpush pelo link de atendimento quando estiver conectado à sua conta do Airpush. Se você usar uma biblioteca de terceiros que inclui o Airpush, será preciso fazer um upgrade para que ela inclua a versão 8.1, 8.11, 8.12, 8.13 ou posterior. 

A vulnerabilidade se deve a configurações padrão não limpas do WebView. Os invasores podem explorar essa vulnerabilidade veiculando um código JavaScript malicioso em um criativo de publicidade, o que possibilita inferir a existência de recursos locais privados nos dispositivos. Nos dispositivos Android com versões da API anteriores à 16, o invasor pode até mesmo acessar os recursos locais. Para outras dúvidas técnicas relacionadas à vulnerabilidade, escreva uma postagem no Stack Overflow e use as tags "android-security" e "Airpush".

Ainda que esses problemas específicos não afetem todos os apps que usam o Airpush, recomendamos manter todos os patches de segurança atualizados. Os apps com vulnerabilidades que expõem usuários a risco de comprometimento podem ser considerados produtos que violam a política de Comportamento malicioso e a seção 4.4 do Contrato de distribuição do desenvolvedor.

Os apps também precisam estar de acordo com o Contrato de distribuição do desenvolvedor e as políticas do programa para desenvolvedores

Estamos aqui para ajudar

Se você tiver dúvidas técnicas sobre a vulnerabilidade, escreva uma postagem no Stack Overflow e use a tag "android-security". Caso precise de mais informações sobre as etapas necessárias para resolver esse problema, entre em contato com nossa equipe de suporte ao desenvolvedor.

Isso foi útil?
Como podemos melhorá-lo?