Thông tin này dành cho nhà phát triển ứng dụng sử dụng các phiên bản Airpush, một nền tảng quảng cáo, trước phiên bản 8.1, 8.11, 8.12 hay 8.13 4.4.0. Những phiên bản này chứa một lỗ hổng bảo mật. Vui lòng di chuyển (các) ứng dụng của bạn sang phiên bản 8.1, 8.11, 8.12 hoặc 8.13 hoặc cao hơn sớm nhất có thể và sử dụng APK nâng cấp có số phiên bản cao hơn.
Chuyện gì sẽ xảy ra
Kể từ ngày 11 tháng 7 năm 2016, Google Play đã bắt đầu chặn xuất bản mọi ứng dụng hoặc bản cập nhật mới sử dụng các phiên bản cũ hơn của Airpush. Vui lòng tham khảo thông báo trên Play Console của bạn.Sau thời hạn hiển thị trong Play Console, chúng tôi có thể xóa mọi ứng dụng có lỗ hổng bảo mật chưa được khắc phục khỏi Google Play.
Hành động cần thiết
- Đăng nhập vào Play Console và chuyển đến phần Cảnh báo để xem những ứng dụng bị ảnh hưởng và thời hạn giải quyết những vấn đề này.
- Cập nhật các ứng dụng bị ảnh hưởng và khắc phục lỗ hổng.
- Gửi phiên bản cập nhật của các ứng dụng bị ảnh hưởng.
Sau khi bạn gửi lại, chúng tôi sẽ xem xét lại ứng dụng của bạn. Quá trình này có thể mất vài giờ. Nếu ứng dụng vượt qua quy trình xem xét và được xuất bản thành công thì bạn không cần thực hiện thêm hành động nào. Nếu ứng dụng không vượt qua được quy trình xem xét thì phiên bản ứng dụng mới sẽ không được xuất bản và bạn sẽ nhận được thông báo qua email.
Thông tin chi tiết bổ sung
Lỗ hổng bảo mật này đã được giải quyết trong 8.1, 8.11, 8.12 và 8.13. Bạn có thể tải xuống phiên bản SDK Airpush mới nhất tại đây từ cổng nhà phát triển Airpush của bạn. Bạn có thể xác nhận số phiên bản bằng cách kiểm tra chéo phiên bản SDK và ngày phát hành trong tệp "readme.txt" trong tệp ZIP. Các liên kết tích hợp doc cho phiên bản tương ứng là 8.1, 8.11, 8.12 và 8.13.
Nếu cần thêm thông tin về nâng cấp, bạn có thể liên hệ với Airpush bằng cách sử dụng liên kết Helpdesk khi đăng nhập vào tài khoản Airpush của bạn. Nếu đang sử dụng thư viện của bên thứ ba bao gồm Airpush, bạn cần nâng cấp ứng dụng này lên phiên bản bao gồm 8.1, 8.11, 8.12 và 8.13 trở lên.
Lỗ hổng này do cài đặt WebView chưa được dọn. Kẻ tấn công có thể khai thác lỗ hổng này bằng cách phát tán mã JavaScript độc hại trong quảng cáo, khiến mã này có thể suy ra sự tồn tại của tài nguyên cục bộ nhạy cảm về bảo mật trên thiết bị. Đối với các thiết bị Android có phiên bản trước của API 16, kẻ tấn công thậm chí có thể truy cập tài nguyên cục bộ. Đối với các câu hỏi kỹ thuật khác liên quan đến lỗ hổng, bạn có thể đăng lên Stack Overflow và sử dụng thẻ “android-security” và “Airpush”.
Mặc dù các sự cố cụ thể này có thể không ảnh hưởng đến mọi ứng dụng sử dụng Airpush, nhưng tốt nhất bạn nên duy trì cập nhật tất cả các bản vá bảo mật. Ứng dụng có lỗ hổng bảo mật khiến người dùng có nguy cơ bị xâm phạm có thể bị xem là vi phạm chính sách về Hành vi nguy hiểm của chúng tôi và phần 4.4 trong Thỏa thuận phân phối dành cho nhà phát triển.
Ứng dụng cũng phải tuân thủ Thỏa thuận phân phối dành cho nhà phát triển và Chính sách chương trình dành cho nhà phát triển.
Chúng tôi sẵn sàng trợ giúp
Nếu có câu hỏi kỹ thuật về lỗ hổng bảo mật, bạn có thể đăng lên Stack Overflow và sử dụng thẻ “android-security”. Để biết rõ các bước cần thực hiện nhằm giải quyết vấn đề này, bạn có thể liên hệ với nhóm hỗ trợ nhà phát triển của chúng tôi.