Как устранить уязвимости в приложениях, содержащих Vpon SDK

Эта информация адресована разработчикам, чьи приложения используют платформу Vpon SDK версии ниже 4.5.1. Эти приложения содержат уязвимость системы безопасности. Они подвергают риску данные пользователей, а значит могут быть расценены как нарушающие правила для разработчиков (раздел "Злоумышленное поведение").

Как можно скорее перейдите на Vpon версии 4.5.1 или выше, обновите свои приложения и укажите новый номер версии APK-файла. С 17 сентября 2016 года мы будем блокировать публикацию приложений и обновлений, использующих более ранние версии Vpon SDK. Это не затронет уже опубликованные приложения, но их обновления будут блокироваться до устранения уязвимости.

Дальнейшие действия

  1. Скачайте последнюю версию Vpon.
  2. Если вам нужна помощь, напишите по адресу bd@vpon.com.
  3. Войдите в Developer Console и загрузите обновленную версию приложения.
  4. Вернитесь через 5 часов. Если обновление было сделано неправильно, вы увидите соответствующее оповещение. Обратите внимание, что иногда обработка занимает больше времени (даже если изменения внесены корректно).

Если вы используете библиотеку стороннего разработчика, которая включает Vpon, обновите ее до версии с Vpon 4.5.1 или выше. 

Обнаруженная уязвимость связана с настройками разрешений WebView, которые некорректно запускают логический флаг etAllowFileAccess(false) в старых версиях Android. Таким образом, злоумышленник может получить доступ к локальным ресурсам устройств, применив в рекламном продукте вредоносный код JavaScript.

Если у вас есть вопросы, задайте их на специальном форуме, используя тег android-security. Обратите внимание: на этом ресурсе не обсуждаются вопросы, связанные с правилами Google Play.

Эти проблемы касаются не всех приложений с Vpon SDK, однако мы рекомендуем всегда использовать версии, включающие последние обновления системы безопасности. Приложения должны соответствовать условиям нашего Соглашения о распространении программных продуктов и Правилам программы для разработчиков. Если вы считаете, что получили это сообщение по ошибке, свяжитесь со службой поддержки.

Эта информация оказалась полезной?
Как можно улучшить эту статью?