כיצד לתקן נקודת תורפה ב-Supersonic SDK

מידע זה מיועד למפתחי אפליקציות שמשתמשים בגרסה לא בטוחה של Supersonic SDK, פלטפורמת מודעות. 

נקודת התורפה בגרסאות הקודמות לגרסה 6.3.5 של Supersonic SDK חושפת מספר פונקציות דרך JavaScript. כיוון שהורדת קובצי ה-JavaScript מתבצעת ב-HTTP, הם חשופים להתקפה מסוג man-in-middle. בהתקפה כזו, התוקף יכול למחוק קבצים מהטלפון ולקבל מידע כגון מיקום גיאוגרפי, אפליקציות שמותקנות וכו'. הבעיות תוקנו בגרסאות חדשות יותר של ה-SDK.

מה קורה?

החל מ-26 בינואר 2017, Google Play החל לחסום פרסומים של אפליקציות או עדכונים חדשים שמשתמשים בגרסאות של Supersonic שקודמות ל-6.3.5. יש לעיין בהודעה שב-Play Console.לאחר המועדים האחרונים לתיקון שמוצגים ב-Play Console, אפליקציות שיכילו פרצות אבטחה לא מתוקנות יוסרו מ-Google Play.

הפעולה הנדרשת

  1. נכנסים לחשבון Play Console, ועוברים לקטע ההתראות כדי לבדוק אילו אפליקציות מושפעות מהבעיות ומהם המועדים האחרונים לתיקון.
  2. מעדכנים את האפליקציה כדי שייעשה שימוש בגרסה האחרונה של Supersonic SDK.
  3. שולחים את הגרסאות המעודכנות של האפליקציות המושפעות.

לאחר השליחה החוזרת, האפליקציה שלכם תיבדק שוב. תהליך זה עשוי להימשך כמה שעות. אם האפליקציה עוברת את הבדיקה ומתפרסמת בהצלחה, לא יהיה צורך בפעולה נוספת. אם האפליקציה תיכשל בבדיקה, גרסת האפליקציה החדשה לא תתפרסם ותקבלו התראה באימייל.

שימו לב שהאפליקציות צריכות לעמוד גם בתנאים של הסכם ההפצה למפתחים ומדיניות התוכן.

אנחנו כאן כדי לעזור

אם יש לכם שאלות טכניות בנוגע לפגיעוּת זו, ניתן לפרסם פוסט באתר Stack Overflow ולהשתמש בתג “android-security”. משהו לא ברור בשלבים לפתרון הבעיה? ניתן לפנות אל צוות התמיכה שלנו למפתחים.

false
התפריט הראשי
3818951465000529680
true
חיפוש במרכז העזרה
true
true
true
true
true
5016068
false
false