Informasi ini ditujukan bagi developer aplikasi yang menggunakan library iklan Vungle dalam versi apa pun sebelum 3.3.0. Versi ini memuat kerentanan keamanan dan melanggar ketentuan Produk berbahaya dalam Kebijakan Konten, dan pasal 4.4 Perjanjian Distribusi Developer.
Harap migrasikan aplikasi Anda sesegera mungkin ke Vungle v.3.3.0 atau yang lebih tinggi dan tambahkan nomor versi APK yang telah diupgrade. Google Play akan memblokir setiap publikasi aplikasi baru atau update yang menggunakan versi Vungle sebelum 3.3.0. Jika Anda menggunakan library pihak ketiga yang menyertakan Vungle, beri tahu pihak ketiga tersebut dan hubungi mereka untuk mengatasi masalah ini.
Yang terjadi
Lihat pemberitahuan di Konsol Play Anda. Setelah batas waktu yang ditampilkan di Konsol Play, aplikasi apa pun yang memiliki kerentanan keamanan yang belum diperbaiki akan dihapus dari Google Play.
Tindakan yang diperlukan
- Login ke Konsol Play Anda, lalu buka bagian Notifikasi untuk melihat aplikasi yang terpengaruh dan batas waktu untuk menyelesaikan masalah ini.
- Update aplikasi yang terpengaruh dan perbaiki kerentanannya.
- Kirimkan versi terupdate aplikasi yang terpengaruh.
Setelah pengiriman ulang, aplikasi Anda akan ditinjau kembali. Proses ini dapat memerlukan waktu hingga beberapa jam. Jika aplikasi berhasil melewati peninjauan dan dipublikasikan, tidak ada tindakan lebih lanjut yang perlu dilakukan. Jika aplikasi gagal ditinjau, versi aplikasi baru tidak akan dipublikasikan dan Anda akan menerima pemberitahuan via email.
Detail tambahan
Kerentanan ini dapat memungkinkan penyerang ]meluncurkan serangan Man-in-the-middle (MITM) terhadap perangkat pengguna dengan membuat proxy traffic jaringan dan memasukkan payload yang diekstrak oleh aplikasi Vungle. Kerentanan ini telah diatasi dalam Vungle v3.3.0. Untuk memeriksa versi Vungle, Anda dapat melakukan penelusuran grep untuk "VungleDroid/".
Versi terbaru dari Vungle dapat diunduh dari situs web Vungle. Untuk bantuan upgrade, lihat halaman dukungan Vungle ini. Untuk mengetahui informasi selengkapnya tentang kerentanan ini, silakan kunjungi https://gist.github.com/Fuzion24/6535f8b9dc2a51745173. Jika memiliki pertanyaan teknis lainnya, silakan kirim postingan ke https://www.stackoverflow.com/questions dan gunakan tag “android-security” serta “vungle”.
Untuk mengonfirmasi bahwa Anda telah melakukan upgrade dengan benar, kirim versi yang telah diupdate ke Konsol Developer lalu kembalilah setelah lima jam. Jika aplikasi belum diupgrade dengan benar, kami akan menampilkan notifikasi.
Catatan: meskipun masalah spesifik ini mungkin tidak memengaruhi setiap aplikasi yang menggunakan Vungle, sebaiknya selalu perbarui semua patch keamanan Anda. Luangkan waktu untuk mengupdate aplikasi yang memiliki library bergantung yang sudah usang atau kerentanan lainnya.
Sebelum memublikasikan aplikasi, pastikan aplikasi mematuhi Perjanjian Distribusi Developer dan Kebijakan Konten.
Kami siap membantu
Jika ada pertanyaan teknis tentang kerentanan, Anda dapat mengirim postingan ke Stack Overflow dan menggunakan tag “android-security”. Untuk penjelasan tentang langkah-langkah yang diperlukan guna mengatasi masalah ini, Anda dapat menghubungi tim dukungan developer kami.