מידע זה נועד למפתחי אפליקציות שמשתמשים בכל גרסה של פלטפורמת המודעות Vpon SDK שקודמת לגרסה 4.5.1. אפליקציות המכילות נקודות תורפה כאלה עלולות לחשוף את המשתמשים לסיכון מפני פגיעה ולהיחשב כמפרות את מדיניות ההתנהגות הזדונית.
שדרג את האפליקציות שלך ל-Vpon גרסה 4.5.1 ואילך בהקדם האפשרי וקדם את מספר הגרסה של ה-APK המשודרג. החל מ-17 בספטמבר 2016, Google Play יחסום פרסומים של אפליקציות או עדכונים חדשים שמשתמשים בגרסאות של Vpon SDK מלפני גרסה 4.5.1. גרסת ה-APK שפורסמה לא תושפע מכך, אך כל עדכונים לאפליקציה ייחסמו אם לא תטפל בנקודת התורפה הזו.
השלבים הבאים
- הורד את הגרסה האחרונה של Vpon מהאתר של Vpon.
- צור קשר עם bd@vpon.com אם אתה זקוק לעזרה בשדרוג.
- היכנס אל Developer Console ושלח את הגרסה המעודכנת של האפליקציה.
- בדוק שוב כעבור חמש שעות - תוצג הודעת אזהרה אם האפליקציה לא עודכנה כראוי. שים לב - בדרך כלל יש עיכובים מסוימים הקשורים לעיבוד, גם אם נקודת התורפה תוקנה באפליקציה.
אם אתה משתמש בספרייה של צד שלישי שכוללת את Vpon, יהיה עליך לשדרג אותה לגרסה הכוללת את Vpon 4.5.1 ואילך.
נקודת התורפה נגרמת עקב הגדרות WebView המאפשרות גישה, מפני שהן לא קוראות באופן מפורש ל-setAllowFileAccess(false) בגרסאות ישנות של Android. תוקף עלול לנצל את נקודת התורפה הזו על ידי הוספת קוד JavaScript זדוני בקריאייטיב של פרסום. בעקבות זאת, תתאפשר גישה למשאבים מקומיים במכשירים.
לשאלות טכניות אחרות, ניתן לפרסם פוסט באתר Stack Overflow ולהשתמש בתגים 'android-security'. שים לב - אין לפרסם שאלות בנוגע למדיניות Play באתר Stack Overflow.
אף על פי שייתכן שבעיות ספציפיות אלה לא משפיעות על כל אפליקציה שמשתמשת ב-Vpon SDK, מומלץ להתעדכן בכל תיקוני האבטחה. האפליקציות צריכות לעמוד גם בתנאים של הסכם ההפצה למפתחים ומדיניות התוכן. אם אתה סבור ששלחנו לך בטעות אזהרה זו על נקודות תורפה, פנה לצוות התמיכה שלנו בנושא מדיניות דרך מרכז העזרה למפתחים של Google Play.