A Vpon SDK biztonsági rését tartalmazó alkalmazások javítása

Ez az információ az olyan alkalmazások fejlesztőinek szól, amelyek a Vpon SDK nevű hirdetésplatform bármely 4.5.1-nél korábbi verzióját használják. Az ilyen, biztonsági réseket tartalmazó alkalmazások a felhasználókat a támadások kockázatának tehetik ki, ezért olyan termékeknek tekinthetjük őket, amelyek sértik a rosszindulatú viselkedéssel kapcsolatos irányelveket.

Kérjük, a lehető leghamarabb telepítsd át alkalmazásaidat a Vpon v4.5.1-es vagy újabb verziójára, és növeld a frissített APK verziószámát. 2016. szeptember 17-től kezdve a Google Play letiltja az olyan új alkalmazások vagy frissítések közzétételét, amelyek a Vpon SDK 4.5.1-nél korábbi verzióit használják. A közzétett alkalmazásverzióra mindez nincs hatással, ám az alkalmazás frissítéseit letiltjuk mindaddig, amíg ki nem javítod ezt a biztonsági rést.

További lépések

  1. Töltsd le a Vpon legújabb verzióját a Vpon webhelyéről.
  2. Írj a bd@vpon.com címre, ha segítségre van szükséged a frissítéssel kapcsolatban.
  3. Jelentkezz be Developer Console-fiókodba, és küldd be alkalmazásod frissített verzióját.
  4. Nézz vissza öt óra elteltével – figyelmeztető üzenetet jelenítünk meg, ha az alkalmazás frissítése nem volt megfelelő. Kérjük, vedd figyelembe, hogy a feldolgozásban késések fordulhatnak elő még akkor is, ha alkalmazásodban már kijavítottad a biztonsági rést.

Ha harmadik fél olyan könyvtárát használod, amely tartalmazza a Vpon szolgáltatást, akkor azt olyan verzióra kell frissítened, amelyben a Vpon 4.5.1 vagy újabb verziója van. 

A biztonsági rés oka a WebView néhány olyan beállítása, amely kifejezetten meghívja a setAllowFileAccess(false) jelölőt az Android régebbi verzióin. A támadók úgy használhatják ki ezt a biztonsági rést, hogy rosszindulatú JavaScript-kódot jelenítenek meg a hirdetési kreatívban, aminek köszönhetően hozzáférhetnek az eszköz helyi erőforrásaihoz.

Egyéb technikai kérdéseidet a Stack Overflow webhelyen, az „android-security” címke használatával teheted fel. Kérjük, vedd figyelembe, hogy a Play irányelveivel kapcsolatos kérdéseket nem a Stack Overflow webhelyen kell feltenni.

Bár ezek a konkrét problémák nem feltétlenül vonatkoznak minden olyan alkalmazásra, amely a Vpon SDK-t használja, érdemes naprakésznek lenni a biztonsági javítások tekintetében. Az alkalmazásoknak meg kell felelniük a Fejlesztői terjesztési megállapodásban és a Tartalmi irányelvekben foglalt rendelkezéseknek. Ha úgy véled, tévedésből kaptad ezt a figyelmeztetést, akkor a Google Play fejlesztői súgón keresztül veheted fel a kapcsolatot az irányelvekkel foglalkozó ügyfélszolgálati csapatunkkal.