Информацията по-долу е предназначена за програмисти на приложения, в които се използват версии на рекламната платформа Vpon SDK, по-стари от 4.5.1. Приложенията с такива уязвимости могат да изложат потребителите на риск от компрометиране и може да бъдат сметнати за продукти в нарушение на правилата ни за злонамереното поведение.
Моля, възможно най-скоро променете приложението или съответно приложенията си, така че да използват Vpon 4.5.1 или по-нова версия и увеличете номера на версията на надстроения APK файл. От 17 септември 2016 г. Google Play ще блокира публикуването на нови приложения или актуализации, в които се използват версии на Vpon SDK, по-стари от 4.5.1. Публикуваната версия на приложението ви няма да бъде засегната, но ще блокираме всички негови актуализации, за които не е отстранена тази уязвимост.
Следващи стъпки
- Изтеглете най-новата версия на рекламната платформа от уебсайта на Vpon.
- Свържете се с bd@vpon.com, ако имате нужда от помощ при надстройването.
- Влезте в профила си в Developer Console и изпратете актуализираната версия на приложението си.
- Проверете отново след пет часа – ще видите предупреждение, ако приложението не е актуализирано както трябва. Имайте предвид, че е нормално да има известно забавяне при обработката дори ако уязвимостта в приложението ви е отстранена.
В случай че работите с библиотека на трета страна, която включва Vpon в пакет, ще се наложи да я надстроите, така че да се използва Vpon 4.5.1 или по-нова версия.
Уязвимостта се дължи на настройки на WebView с разрешителен характер, които не извикват изрично setAllowFileAccess(false) при по-стари версии на Android. Извършител на атака може да се възползва от тази уязвимост, като покаже злонамерен JavaScript код в рекламно послание и така получи достъп до локални ресурси на устройствата.
Ако имате други технически въпроси, можете да ги публикувате в Stack Overflow и да използвате маркера „android-security“. Имайте предвид, че там не трябва да се задават въпроси относно правилата на Google Play.
Макар че е възможно тези конкретни проблеми да не засягат всяко приложение, в което се използва Vpon SDK, най-добре е да имате всички актуални корекции за сигурност. Приложенията също така трябва да спазват Споразумението с програмистите относно разпространението и Правилата за съдържанието. Ако смятате, че сте получили това предупреждение за уязвимост по погрешка, свържете се с екипа ни за поддръжка във връзка с правилата чрез Помощния център на Google Play за програмисти.