Esta información va dirigida a los desarrolladores de aplicaciones que utilizan cualquier versión de la biblioteca de anuncios Vungle anterior a la versión 3.3.0. Estas versiones contienen una vulnerabilidad de seguridad e infringen la disposición sobre productos peligrosos de la política de contenido y la sección 4.4 del Acuerdo de Distribución para Desarrolladores.
Migra tus aplicaciones a la versión 3.3.0 de Vungle o a una versión posterior lo antes posible y aumenta el número de versión de los APK actualizados. Google Play bloqueará la publicación de aplicaciones nuevas y de actualizaciones que utilicen versiones anteriores de Vungle. Si utilizas una biblioteca de terceros que incluya Vungle, ponte en contacto con el fabricante en cuestión para solucionar el problema.
¿Qué va a cambiar?
Consulta el aviso en Play Console. Una vez que finalice el plazo indicado en Play Console, es posible que las aplicaciones que contengan vulnerabilidades de seguridad sin corregir se retiren de Google Play.
Acción necesaria
- Inicia sesión en Play Console y ve a la sección Alertas para consultar qué aplicaciones están afectadas y las fechas límite para resolver estos problemas.
- Actualiza las aplicaciones afectadas y corrige la vulnerabilidad.
- Envía las versiones actualizadas de las aplicaciones afectadas.
Cuando vuelvas a enviar tus aplicaciones, se revisarán de nuevo. Este proceso puede tardar varias horas en completarse. Si una aplicación supera el proceso de revisión y se publica, no tendrás que hacer nada más. De lo contrario, la nueva versión de la aplicación no se publicará y recibirás una notificación por correo electrónico.
Información adicional
La vulnerabilidad permite que se lleven a cabo ataques man-in-the-middle contra los dispositivos de los usuarios controlando el tráfico de red a través de un proxy e inyectando una carga útil extraída por la aplicación Vungle. La vulnerabilidad se solucionó en la versión 3.3.0 de Vungle. Para comprobar cuál es tu versión de Vungle, busca “VungleDroid/” con el comando grep.
Puedes descargar la última versión de Vungle del sitio web. Si necesitas ayuda para actualizar la versión, consulta esta página de asistencia de Vungle. Para obtener más información sobre esta vulnerabilidad, consulta la página https://gist.github.com/Fuzion24/6535f8b9dc2a51745173. Si tienes alguna otra pregunta técnica, puedes publicarla en la página https://www.stackoverflow.com/questions utilizando las etiquetas "android-security" y "vungle".
Para confirmar que la actualización se ha instalado correctamente, envía la versión actualizada a Play Console y vuelve a comprobarla transcurridas 5 horas. Si la aplicación no se ha actualizado correctamente, se mostrará una advertencia.
Nota: Aunque es posible que estos problemas específicos no afecten a todas las aplicaciones que utilizan Vungle, te recomendamos que mantengas todos los parches de seguridad actualizados. Aprovecha la ocasión para actualizar las aplicaciones que tengan bibliotecas dependientes no actualizadas u otras vulnerabilidades.
Antes de publicar aplicaciones, comprueba que cumplan el Acuerdo de Distribución para Desarrolladores y la política de contenido.
Queremos ayudarte
Si tienes alguna pregunta técnica sobre esta vulnerabilidad, puedes publicarla en Stack Overflow con la etiqueta "android-security". Ponte en contacto con nuestro equipo de asistencia para desarrolladores si necesitas más información para resolver este problema.