מידע זה מיועד למפתחי אפליקציות שמשתמשים בגרסה לא בטוחה של Supersonic SDK, פלטפורמת מודעות.
נקודת התורפה בגרסאות הקודמות לגרסה 6.3.5 של Supersonic SDK חושפת מספר פונקציות דרך JavaScript. כיוון שהורדת קובצי ה-JavaScript מתבצעת ב-HTTP, הם חשופים להתקפה מסוג man-in-middle. בהתקפה כזו, התוקף יכול למחוק קבצים מהטלפון ולקבל מידע כגון מיקום גיאוגרפי, אפליקציות שמותקנות וכו'. הבעיות תוקנו בגרסאות חדשות יותר של ה-SDK.
מה קורה?
החל מ-26 בינואר 2017, Google Play החל לחסום פרסומים של אפליקציות או עדכונים חדשים שמשתמשים בגרסאות של Supersonic שקודמות ל-6.3.5. יש לעיין בהודעה שב-Play Console.לאחר המועדים האחרונים לתיקון שמוצגים ב-Play Console, אפליקציות שיכילו פרצות אבטחה לא מתוקנות יוסרו מ-Google Play.
הפעולה הנדרשת
- נכנסים לחשבון Play Console, ועוברים לקטע ההתראות כדי לבדוק אילו אפליקציות מושפעות מהבעיות ומהם המועדים האחרונים לתיקון.
- מעדכנים את האפליקציה כדי שייעשה שימוש בגרסה האחרונה של Supersonic SDK.
- שולחים את הגרסאות המעודכנות של האפליקציות המושפעות.
לאחר השליחה החוזרת, האפליקציה שלכם תיבדק שוב. תהליך זה עשוי להימשך כמה שעות. אם האפליקציה עוברת את הבדיקה ומתפרסמת בהצלחה, לא יהיה צורך בפעולה נוספת. אם האפליקציה תיכשל בבדיקה, גרסת האפליקציה החדשה לא תתפרסם ותקבלו התראה באימייל.
שימו לב שהאפליקציות צריכות לעמוד גם בתנאים של הסכם ההפצה למפתחים ומדיניות התוכן.
אנחנו כאן כדי לעזור
אם יש לכם שאלות טכניות בנוגע לפגיעוּת זו, ניתן לפרסם פוסט באתר Stack Overflow ולהשתמש בתג “android-security”. משהו לא ברור בשלבים לפתרון הבעיה? ניתן לפנות אל צוות התמיכה שלנו למפתחים.