Как устранить уязвимость AirPush в приложениях

Информация в статье предназначена для разработчиков, в чьих приложениях используется платформа AirPush версии ниже 8.1, 8.11, 8.12 или 8.13. Эти приложения содержат уязвимость системы безопасности. Как можно скорее перейдите на версии 8.1, 8.11, 8.12, 8.13 или выше, обновите свои приложения и укажите новый номер версии APK-файла.

Что происходит

С 11 июля 2016 года в Google Play нельзя публиковать приложения и обновления, в которых используются более ранние версии AirPush. Вам необходимо принять меры до даты, указанной в Play Console. После нее приложения, содержащие уязвимость, могут быть удалены из Google Play.

Что нужно сделать

  1. Чтобы узнать, какие приложения уязвимы и как скоро нужно устранить проблему, войдите в Play Console и откройте раздел "Оповещения".
  2. Устраните уязвимость и обновите затронутые ею приложения.
  3. Опубликуйте обновленные версии приложений.

После этого мы проведем повторную проверку, которая может занять несколько часов. Если уязвимость устранена и вы видите, что приложение опубликовано, дополнительных действий не потребуется. Если проблема не решена, новая версия не будет опубликована и вы получите уведомление по электронной почте.

Сведения об уязвимости

В AirPush 8.1, 8.11, 8.12 и 8.13 эта уязвимость устранена. Обновленный пакет разработчика можно скачать на сайте разработчика. Вы можете убедиться в номере версии, проверив версию SDK и дату выпуска в файле "readme.txt" внутри ZIP-архива. Ссылки в документации будут указывать на соответствующие версии (8.1, 8.11, 8.12 или 8.13).

Чтобы получить дополнительную информацию об обновлении версии, обратитесь в Helpdesk после входа в аккаунт AirPush. Если вы используете библиотеку стороннего разработчика, которая включает AirPush, обновите ее до версии с AirPush 8.1, 8.11, 8.12, 8.13 или выше. 

Обнаруженная уязвимость связана с настройками WebView по умолчанию. Таким образом, злоумышленник может обнаружить конфиденциальные локальные ресурсы устройств, применив в рекламном продукте вредоносный код JavaScript. На устройствах Android с версией API ниже 16 злоумышленник может получить доступ к этим ресурсам. Если у вас есть вопросы, задайте их, добавив теги android-security и AirPush.

Уязвимость может быть использована не для всех приложений, работающих с библиотекой AirPush, однако мы рекомендуем своевременно устанавливать все обновления, связанные с безопасностью. Если приложение подвергает риску данные пользователей, оно может быть расценено как вредоносное. Такие приложения нарушают Соглашение Google Play о распространении программных продуктов (раздел 4.4).

Приложения должны соответствовать условиям Соглашения о распространении программных продуктов и Правилам в отношении контента

Мы всегда рады помочь!

Если у вас есть вопросы, задайте их, используя тег android-security. Чтобы получить более подробные разъяснения, свяжитесь с командой поддержки для разработчиков.

Эта информация оказалась полезной?
Как можно улучшить эту статью?