Nämä tiedot on tarkoitettu kehittäjille, joiden sovelluksissa käytetään Vpon SDK -mainosalustan versiota 4.5.1 vanhempaa versiota. Jos sovelluksessa on tällaisia käyttäjille mahdollisesti haitallisia haavoittuvuuksia, sen voidaan katsoa rikkovan haitallista toimintaa koskevaa käytäntöämme.
Ota Vpon-versio 4.5.1 tai uudempi käyttöön sovelluksessasi mahdollisimman pian ja muokkaa päivitetyn APK:n versionumeroa. 17.9.2016 alkaen Google Play estää kaikkien sellaisten sovellusten ja päivitysten julkaisun, joissa käytettävä Vpon SDK:n versio on vanhempi kuin 4.5.1. Tämä ei vaikuta julkaistuun sovellusversioosi, mutta sen päivitykset estetään, jos haavoittuvuutta ei ole korjattu niissä.
Seuraavat vaiheet
- Lataa uusin Vpon-versio Vpon-verkkosivustolta.
- Lähetä sähköpostia osoitteeseen bd@vpon.com, jos tarvitset apua päivittämisessä.
- Kirjaudu Developer Consoleen ja lähetä päivitetty versio sovelluksestasi.
- Tarkista tilanne viiden tunnin päästä – näet varoitusviestin, jos sovellusta ei ole päivitetty oikein. Huomaa, että käsittelyssä esiintyvät viiveet ovat tavallisia, vaikka haavoittuvuus olisi korjattu.
Jos käytät Vponin sisältävää kolmannen osapuolen kirjastoa, päivitä se versioon, joka sisältää Vpon-version 4.5.1 tai uudemman.
Haavoittuvuus johtuu WebView-asetuksista, jotka eivät erikseen kutsu setAllowFileAccess(false)-kohdetta Androidin vanhemmissa versioissa. Hyökkääjä voi käyttää tätä haavoittuvuutta hyväkseen lisäämällä mainokseen haitallista JavaScript-koodia, jolloin laitteen paikallisten resurssien käyttö on mahdollista.
Muita teknisiä kysymyksiä voit esittää Stack Overflow -sivustolla. Merkitse kysymyksesi tagilla android-security. Älä lähetä Stack Overflow'hun kysymyksiä Playn käytännöistä.
Vaikka nämä ongelmat eivät välttämättä koske kaikkia Vpon SDK:ta käyttäviä sovelluksia, suosittelemme kaikkien tietoturvakorjauksien käyttöönottoa. Sovellusten täytyy noudattaa myös kehittäjien jakelusopimusta ja sisältökäytäntöä. Jos uskot tämän varoituksen olevan aiheeton, ota yhteyttä käytäntöjen tukitiimiimme Google Play -kehittäjien ohjekeskuksessa.