如果开发者发布的应用使用 4.5.1 版之前任意版本的 Vpod SDK 广告平台,请参阅本文信息。如果应用包含这种漏洞,则会让用户面临入侵风险,并可能会被视为违反恶意行为政策。
请尽快将您的应用迁移到 Vpon 4.5.1 版或更高版本,并增加升级版 APK 的版本号。 从 2016 年 9 月 17 日起,Google Play 将禁止发布任何使用 Vpon SDK 4.5.1 之前版本的新应用或应用更新。您已发布的应用版本不会受到影响,不过,如果您不修复此漏洞,将无法为应用发布任何更新。
后续步骤
- 从 Vpon 网站下载最新版的 Vpon。
- 如果您需要升级方面的帮助,请发送电子邮件到 bd@vpon.com。
- 登录 Developer Console 并提交应用的更新版本。
- 过 5 个小时后再回来查看。如果应用未正确更新,系统将会显示相应的警告消息。请注意,即使您的应用已修复相应漏洞,处理过程中也可能会出现延迟情况,这是很常见的情况。
如果您使用的第三方库捆绑了 Vpon,则需要将其升级到捆绑 Vpon 4.5.1 或更高版本的版本。
之所以会存在这种漏洞,是因为 WebView 设置过于宽松,无法在旧版 Android 上明确调用 setAllowFileAccess(false)。攻击者可能会通过在广告素材中投放恶意 JavaScript 代码来利用此漏洞,从而使自己能够存取相应设备上的本地资源。
如有其他技术问题,您可以在 Stack Overflow 上发帖咨询(使用“android-security”标签)。请注意,请勿在 Stack Overflow 上发布关于 Play 政策的问题。
尽管这些具体问题不一定会对使用 Vpon SDK 的所有应用都造成影响,但我们仍建议您安装所有最新的安全补丁。应用还必须遵循开发者分发协议和内容政策。如果您认为我们发送此漏洞警告的判断有误,请通过 Google Play 开发者帮助中心与我们的政策支持团队联系。