Ez a tájékoztatás az olyan alkalmazások fejlesztőinek szól, amelyek a Supersonic SDK hirdetési platform nem biztonságos verzióját használják.
A Supersonic SDK 6.3.5 előtti verzióiban található biztonsági rés számos funkciót tesz sebezhetővé JavaScripten keresztül. Mivel a JavaScript-fájlok HTTP-kapcsolaton keresztül töltődnek le, így sebezhetők a közbeékelődéses támadásokkal szemben. Ezt kihasználva a támadók fájlokat törölhetnek a telefonról, és különféle adatokhoz – például a földrajzi hely és a telepített alkalmazások adataihoz stb. – juthatnak hozzá. Az SDK újabb verziói már mentesek e problémáktól.
Mi történik?
2017. január 26-tól kezdve a Google Play elkezdte letiltani a Supersonic 6.3.5 előtti verzióit használó új alkalmazások és frissítések közzétételét. A Play Console felületén lévő értesítésben további információt találhatsz. A Play Console felületén látható határidők után eltávolítjuk a Google Playről azokat az alkalmazásokat, amelyekben még megtalálható a sebezhetőség.
Teendők
- Jelentkezz be a Play Console felületén, majd tekintsd át az Értesítések oldalon az érintett alkalmazásokat és a problémák megoldásának határidőit.
- Frissítsd alkalmazásodat, hogy a Supersonic SDK legújabb verzióját használja.
- Küldd be az érintett alkalmazások frissített verzióit.
A beküldés után alkalmazásodat ismét ellenőrizzük. A folyamat több órát is igénybe vehet. Ha az alkalmazás megfelel az ellenőrzésen, és ezt követően közzétesszük, nincs más teendőd. Ha az alkalmazás nem felel meg az ellenőrzésen, akkor nem tesszük közzé az új verziót, és e-mailben értesítést küldünk a fejleményről.
Vedd figyelembe, hogy az alkalmazásoknak meg kell felelniük a Fejlesztői terjesztési megállapodásban és a tartalmi irányelvekben foglaltaknak is.
Örömmel segítünk
A sebezhetőségre vonatkozó technikai kérdéseidet felteheted a Stack Overflow webhelyén, az „android-security” címkével ellátva. Ha a probléma megoldásának lépéseire vonatkozóan szeretnél tisztázni valamit, vedd fel a kapcsolatot fejlesztőtámogatási csapatunkkal.