Cette information est destinée aux développeurs d'applications qui utilisent une version de la bibliothèque d'annonces Vungle antérieure à la version 3.3.0. Ces versions contiennent une faille de sécurité et ne respectent pas la clause Produits dangereux du règlement relatif au contenu ni la section 4.4 du contrat relatif à la distribution (pour les développeurs).
Veuillez installer Vungle 3.3.0 ou version ultérieure pour votre ou vos applications dès que possible et modifier en conséquence le numéro de version du fichier APK mis à jour. La publication sur Google Play de nouvelles applications ou de mises à jour d'applications qui utilisent des versions de Vungle antérieures à 3.3.0 sera bloquée. Si vous utilisez une bibliothèque tierce qui inclut Vungle, veuillez en informer votre fournisseur de services afin que vous puissiez trouver une solution ensemble.
Que se passe-t-il ?
Veuillez consulter la notification dans la console Play. Passé les délais indiqués dans la console Play, toutes les applications présentant des failles de sécurité non résolues pourront être supprimées de Google Play.
Action requise
- Connectez-vous à la console Play et accédez à la section "Alertes" pour savoir quelles sont les applications concernées et connaître les délais à respecter pour résoudre ces problèmes.
- Mettez à jour les applications concernées et corrigez la faille.
- Envoyez les versions mises à jour des applications concernées.
Votre application sera à nouveau examinée. Le processus peut durer plusieurs heures. Si votre application est approuvée et publiée, aucune autre action de votre part n'est requise. Si l'application n'est pas approuvée, sa nouvelle version ne sera pas publiée, et vous recevrez une notification par e-mail.
Informations supplémentaires
La faille de sécurité peut permettre à des pirates informatiques de lancer une attaque dite "de l'homme du milieu" contre les appareils de l'utilisateur via un trafic réseau par proxy et en injectant une charge extraite par l'application Vungle. Cette faille a été corrigée dans la version 3.3.0 de Vungle. Pour vérifier la version de Vungle que vous utilisez, vous pouvez lancer une recherche grep sur "VungleDroid/".
Vous pouvez télécharger la dernière version de Vungle sur le site Web de Vungle. Pour obtenir de l'aide concernant la mise à jour, consultez cette page d'assistance Vungle. Pour en savoir plus sur la faille, rendez-vous à l'adresse https://gist.github.com/Fuzion24/6535f8b9dc2a51745173. Si vous avez d'autres questions techniques, veuillez publier un message sur le site https://www.stackoverflow.com/questions en utilisant les tags "android-security" et "vungle".
Pour vous assurer que la mise à jour a bien été effectuée, publiez la version actualisée de l'application sur la Developer Console, puis faites un test après cinq heures. Si la mise à jour n'a pas été effectuée correctement, une alerte sera affichée.
Remarque : Même si ces problèmes spécifiques n'affectent pas nécessairement toutes les applications qui utilisent Vungle, nous vous recommandons de vous tenir informé des correctifs de sécurité. Prenez le temps de mettre à jour les applications dont les bibliothèques sont obsolètes ou qui présentent d'autres failles.
Avant de publier des applications, assurez-vous qu'elles respectent le Contrat relatif à la distribution (pour les développeurs) et le Règlement relatif au contenu.
Nous sommes là pour vous aider
Si vous avez des questions techniques sur cette faille, vous pouvez publier un message sur le site Stack Overflow en utilisant le tag "android-security". Si vous souhaitez obtenir des éclaircissements sur les étapes à suivre pour résoudre ce problème, vous pouvez contacter notre équipe d'assistance pour les développeurs.