如何修正有 Vpon SDK 安全性漏洞的應用程式

開發人員請注意,如果您的應用程式使用 4.5.1 以下版本的 Vpod SDK 廣告平台,請詳閱本文資訊。如果應用程式含有這類安全性漏洞,導致使用者的資料有外洩之虞,我們可能會將該應用程式視為違反惡意行為政策。

請儘快將您的應用程式升級至 Vpon 4.5.1 以上版本,並為升級的 APK 增加版本號碼。 自 2016 年 9 月 17 日起,只要新的應用程式或更新內容使用了 Vpon SDK 4.5.1 以下版本,一律禁止在 Google Play 發佈。雖然這不會影響您已發佈的應用程式版本,但是在修正這個安全性漏洞前,您將無法為應用程式發佈任何更新。

後續步驟

  1. 前往 Vpon 網站下載最新版本的 Vpon。
  2. 如需升級相關協助,請透過 bd@vpon.com 與支援小組聯絡。
  3. 登入 Developer Console,提交您的應用程式更新版本。
  4. 5 小時過後再返回查看。如果應用程式未妥善更新,系統就會顯示警告訊息。請注意,即使您的應用程式已修正安全性漏洞,處理程序仍可能有所延遲,此屬正常情況,請耐心等候。

如果您使用的第三方程式庫包含 Vpon,請升級至包含 Vpon 4.5.1 以上版本的程式庫。

由於 WebView 設定過於寬鬆,無法在舊版 Android 上明確呼叫 setAllowFileAccess(false),因此會造成安全性漏洞。攻擊者可利用這個漏洞在廣告素材中植入惡意 JavaScript 程式碼,藉此存取裝置上的本機資源。

如有其他技術問題,請前往 Stack Overflow 張貼問題並加上「android-security」標記。提醒您,請勿在 Stack Overflow 上張貼 Play 政策相關問題。

雖然這些特定問題不一定會對所有使用 Vpon SDK 的應用程式造成影響,我們仍建議您安裝所有最新的安全性修補程式。此外,應用程式也必須遵循《開發人員發佈協議》和《內容政策》。如果您認為我們不應收到這則安全性漏洞警告訊息,請透過 Google Play 開發人員說明中心與我們的政策支援小組聯絡。

這篇文章實用嗎?
我們應如何改進呢?