Tyto informace jsou určeny vývojářům aplikací, kteří používají nebezpečnou verzi sady SDK Supersonic, což je reklamní platforma.
Chyba zabezpečení ve verzích sady SDK Supersonic starších než 6.3.5 zpřístupňuje několik funkcí prostřednictvím JavaScriptu. Protože se soubory JavaScript stahují pomocí protokolu HTTP, nejsou zabezpečeny před útoky typu man-in-the-middle. Tuto chybu zabezpečení by útočník mohl využít ke smazání souborů z telefonu a k získání informací, jako jsou geografická poloha, nainstalované aplikace apod. V novějších verzích sady SDK tyto problémy byly opraveny.
K čemu dochází
Od 26. ledna 2017 služba Google Play začala blokovat publikování nových aplikací a aktualizací, které používají verze sady Supersonic nižší než 6.3.5. Další informace najdete v oznámení ve službě Play Console. Po termínech uvedených v Play Console mohou být aplikace s neopravenými chybami zabezpečení z Google Play odstraněny.
Vyžadovaná akce
- Přihlaste se do Play Console a přejděte do sekce Upozornění, kde zjistíte, kterých aplikací se tento problém týká a do kdy je potřeba jej vyřešit.
- Aktualizujte aplikaci tak, aby používala nejnovější verzi sady SDK Supersonic.
- Odešlete aktualizované verze dotčených aplikací.
Po odeslání bude aplikace znovu zkontrolována. Tento proces může trvat několik hodin. Pokud aplikace při kontrole projde a bude úspěšně publikována, není potřeba podnikat žádné další kroky. Jestliže aplikace při kontrole neprojde, nová verze aplikace nebude publikována a obdržíte e‑mailem oznámení.
Aplikace také musí být v souladu s distribuční smlouvou pro vývojáře a obsahovými zásadami.
Rádi vám poradíme
Máte-li ohledně této zranitelnosti technické dotazy, publikuje příspěvek na webu Stack Overflow. Použijte štítek „android-security“. Pokud potřebujete poradit s jednotlivými kroky k řešení tohoto problému, obraťte se na náš tým podpory pro vývojáře.