Die folgenden Informationen richten sich an Entwickler von Apps, die eine Version der Vungle-Anzeigenbibliothek vor der Version 3.3.0 nutzen. Diese Versionen enthalten eine Sicherheitslücke und verstoßen gegen die Bestimmung der Inhaltsrichtlinien in Bezug auf gefährliche Produkte sowie gegen Abschnitt 4.4 der Vereinbarung für den Entwicklervertrieb.
Migrieren Sie Ihre Apps möglichst bald auf Vungle-Version 3.3.0 oder höher und erhöhen Sie die Versionsnummer des aktualisierten APK. Google Play blockiert die Veröffentlichung sämtlicher neuer Apps und Updates, die Versionen vor Vungle-Version 3.3.0 verwenden. Wenn Sie eine Bibliothek eines Drittanbieters verwenden, die Vungle enthält, benachrichtigen Sie den entsprechenden Anbieter, um dieses Problem zu beheben.
Aktuelle Informationen
Weitere Informationen zur Sicherheitslücke erhalten Sie in der entsprechenden Benachrichtigung in der Play Console. Nachdem die in der Play Console angezeigten Fristen abgelaufen sind, werden alle Apps, die nicht behobene Sicherheitslücken enthalten, aus Google Play entfernt.
Erforderliche Maßnahmen
- Melden Sie sich in der Play Console an und gehen Sie zum Bereich "Warnmeldungen". Dort sehen Sie, welche Apps betroffen sind und bis wann Sie diese Probleme beheben müssen.
- Aktualisieren Sie die betroffenen Apps und beheben Sie die Sicherheitslücke.
- Reichen Sie aktualisierte Versionen Ihrer betroffenen Apps ein.
Nachdem Ihre App neu eingereicht wurde, wird sie noch einmal überprüft. Dieser Vorgang kann mehrere Stunden dauern. Wenn die App die Überprüfung besteht und veröffentlicht wird, sind keine weiteren Maßnahmen erforderlich. Falls die App die Überprüfung nicht besteht, wird die neue App-Version nicht veröffentlicht und Sie erhalten eine Benachrichtigung per E-Mail.
Zusätzliche Informationen
Durch die Sicherheitslücke können Hacker einen Man-in-the-Middle-Angriff (MITM) auf Nutzergeräte starten, indem sie einen Proxyvorgang für den Netzwerkverkehr durchführen und Dateien mithilfe einer aus der Vungle App extrahierten Nutzlast infizieren. Die Sicherheitslücke wurde in der Vungle-Version 3.3.0 behoben. Zur Überprüfung Ihrer Vungle-Version können Sie eine grep-Suche nach "VungleDroid/" ausführen.
Die aktuelle Version von Vungle kann auf der Vungle-Website heruntergeladen werden. Hilfe beim Upgrade erhalten Sie auf dieser Vungle-Supportseite. Weitere Informationen zu dieser Sicherheitslücke finden Sie unter https://gist.github.com/Fuzion24/6535f8b9dc2a51745173. Sonstige technische Fragen können Sie auf https://www.stackoverflow.com/questions unter Angabe der Tags "android-security" und "vungle" posten.
Wenn Sie prüfen möchten, ob das Upgrade korrekt ausgeführt wurde, reichen Sie die aktualisierte Version über die Developer Console ein und sehen Sie fünf Stunden später noch einmal nach. Falls die App nicht richtig aktualisiert wurde, wird eine Warnmeldung angezeigt.
Hinweis: Auch wenn die beschriebenen Probleme nicht jede App betreffen, in denen Vungle verwendet wird, ist es empfehlenswert, sämtliche Sicherheitspatches zu installieren. Nehmen Sie sich die Zeit, um Apps zu aktualisieren, die veraltete abhängige Bibliotheken oder andere Sicherheitslücken haben.
Achten Sie vor dem Veröffentlichen von Apps darauf, dass diese der Vereinbarung für den Entwicklervertrieb und den Inhaltsrichtlinien entsprechen.
Hilfe und Support
Technische Fragen zu dieser Sicherheitslücke können Sie bei Stack Overflow posten. Bitte verwenden Sie dabei das Tag "android-security". Weitere Informationen zu den Maßnahmen, die zur Lösung dieses Problems erforderlich sind, erhalten Sie von unserem Entwicklersupportteam.