Zawarte tu informacje są przeznaczone dla programistów aplikacji, które korzystają z platformy reklamowej Vpon SDK w wersji starszej niż 4.5.1. Aplikacje z takimi lukami mogą narażać użytkowników na niebezpieczeństwo, dlatego możemy uznać je za niezgodne z zasadami dotyczącymi złośliwego zachowania.
Jak najszybciej uaktualnij swoje aplikacje do Vpon w wersji 4.5.1 lub nowszej i zwiększ numer wersji uaktualnionego pliku APK. Od 17 września 2016 roku Google Play będzie blokować publikowanie nowych aplikacji i aktualizacji korzystających z wersji Vpon SDK starszych niż 4.5.1. Nie wpłynie to na opublikowaną wersję aplikacji, ale wszystkie jej aktualizacje będą blokowane do czasu rozwiązania problemu z luką w zabezpieczeniach.
Kolejne kroki
- Pobierz najnowszą wersję Vpon ze strony Vpon.
- Jeśli potrzebujesz pomocy przy uaktualnieniu, skontaktuj się z bd@vpon.com.
- Zaloguj się w Developer Console i prześlij zaktualizowaną wersję aplikacji.
- Sprawdź za pięć godzin. Jeśli aplikacji nie udało się zaktualizować, zobaczysz ostrzeżenie. Nawet jeśli aplikacja nie ma już luki w zabezpieczeniach, jej przetwarzanie często może się opóźnić.
Jeśli używasz biblioteki zewnętrznej, która zawiera Vpon w pakiecie, musisz uaktualnić ją do wersji obejmującej Vpon w wersji 4.5.1 lub nowszej.
Luka w zabezpieczeniach jest spowodowana liberalnymi ustawieniami WebView, które nie wywołują wyraźnie funkcji setAllowFileAccess(false) w starszych wersjach Androida. Atakujący może ją wykorzystać, umieszczając złośliwy kod JavaScript w reklamie, co z kolei umożliwia uzyskanie dostępu do zasobów lokalnych przechowywanych na urządzeniach.
Jeśli masz pytania techniczne, możesz opublikować je na stronie Stack Overflow, używając tagu „android-security”. Pamiętaj, że na stronie Stack Overflow nie należy publikować pytań na temat zasad obowiązujących w Google Play.
Te problemy nie muszą pojawić się w każdej aplikacji używającej Vpon SDK, ale najlepiej jest na bieżąco wprowadzać wszelkie poprawki zabezpieczeń. Aplikacje muszą być też zgodne z Umową dystrybucyjną dla programistów i Polityką treści. Jeśli Twoim zdaniem wysłaliśmy to ostrzeżenie o luce w zabezpieczeniach przez pomyłkę, skontaktuj się z naszym zespołem pomocy ds. zasad, korzystając z Centrum pomocy dla programistów Google Play.