תיקון אפליקציות עם נקודת תורפה ב-Vungle

מידע זה נועד למפתחי אפליקציות שמשתמשים בגרסה כלשהי של ספריית המודעות Vungle שקודמת לגרסה 3.3.0. גרסאות אלה מכילות נקודות תורפה ומהוות הפרה של תנאי המוצרים המסוכנים של מדיניות התוכן ושל סעיף 4.4 של הסכם ההפצה למפתחים.

יש להעביר את האפליקציות ל-Vungle מגרסה.3.3.0 ואילך בהקדם האפשרי, ולהגדיל את מספר הגרסה של ה-APK המשודרג. פרסומים של אפליקציות ועדכונים חדשים, שמשתמשים בגרסאות Vungle שקודמות ל-3.3.0, ייחסמו על ידי Google Play. אם אתם משתמשים בספרייה של צד שלישי הכוללת את Vungle, יש ליידע את הצד השלישי ולשתף איתו פעולה כדי לטפל בבעיה.

מה קורה?

יש לעיין בהודעה שב-Play Console.לאחר המועדים האחרונים לתיקון שמוצגים ב-Play Console, אפליקציות שיכילו פרצות אבטחה לא מתוקנות יוסרו מ-Google Play.

הפעולה הנדרשת

  1. נכנסים לחשבון Play Console, ועוברים לקטע ההתראות כדי לבדוק אילו אפליקציות מושפעות מהבעיות ומהם המועדים האחרונים לתיקון.
  2. מעדכנים את האפליקציות המושפעות ומתקנים את פרצת האבטחה.
  3. שולחים את הגרסאות המעודכנות של האפליקציות המושפעות.

לאחר השליחה החוזרת, האפליקציה שלכם תיבדק שוב. תהליך זה עשוי להימשך כמה שעות. אם האפליקציה עוברת את הבדיקה ומתפרסמת בהצלחה, לא יהיה צורך בפעולה נוספת. אם האפליקציה תיכשל בבדיקה, גרסת האפליקציה החדשה לא תתפרסם ותקבלו התראה באימייל.

פרטים נוספים

נקודת התורפה עלולה לאפשר לתוקפים ליזום התקפות מסוג MITM‏ (man-in-the-middle) נגד מכשירים של משתמשים, על ידי העברת התנועה ברשת בשרתי proxy והכנסת מטען ייעודי שנשלף על ידי אפליקציית Vungle. פרצת האבטחה הזו תוקנה ב-Vungle בגרסה 3.3.0. כדי לבדוק את גרסת Vungle שבה אתה משתמש, באפשרותך לערוך חיפוש מסוג GREP של "VungleDroid/‎".

ניתן להוריד את הגרסה העדכנית ביותר של Vungle מהאתר של Vungle‏. לקבלת עזרה בשדרוג, יש לעיין בדף התמיכה של Vungle‏. לקבלת מידע נוסף על פגיעוּת זו, יש לעיין בדף https://gist.github.com/Fuzion24/6535f8b9dc2a51745173. אם יש לכם שאלות טכניות נוספות, יש לפרסם אותן בדף https://www.stackoverflow.com/questions ולהשתמש בתגים "android-security" ו-"vungle".

כדי לוודא שהשדרוג הושלם בהצלחה, צריך לשלוח את הגרסה המעודכנת אל Developers Console‏ ולבדוק שוב לאחר חמש שעות. אם האפליקציה לא שודרגה כהלכה, נציג התראה.

הערה: אף על פי שייתכן שבעיות ספציפיות אלו לא משפיעות על כל אפליקציה שמשתמשת ב-Vungle, מומלץ להיות מעודכנים בכל תיקוני האבטחה. אנחנו מבקשים שתקדישו את הזמן הנחוץ לעדכון אפליקציות המכילות ספריות תלויות שאינן מעודכנות או פרצות אבטחה אחרות.

לפני פרסום האפליקציות, יש לוודא שהן תואמות להסכם ההפצה למפיצים ולמדיניות התוכן.

 

אנחנו כאן כדי לעזור

אם יש לכם שאלות טכניות בנוגע לפגיעוּת זו, ניתן לפרסם פוסט באתר Stack Overflow ולהשתמש בתג “android-security”. משהו לא ברור בשלבים לפתרון הבעיה? ניתן לפנות אל צוות התמיכה שלנו למפתחים.

false
התפריט הראשי
13544911625741499088
true
חיפוש במרכז העזרה
true
true
true
true
true
5016068
false
false