Zawarte tu informacje są przeznaczone dla deweloperów, których aplikacje korzystają z biblioteki reklamowej Vungle w wersji starszej niż 3.3.0. Wersje te mają lukę w zabezpieczeniach i naruszają postanowienia naszej Polityki treści dotyczące produktów niebezpiecznych oraz punktu 4.4 Umowy dystrybucyjnej dla deweloperów.
Jak najszybciej przeprowadź migrację aplikacji do Vungle w wersji 3.3.0 lub nowszej i zwiększ numer wersji uaktualnionego pliku APK. Google Play będzie blokować publikowanie nowych aplikacji i aktualizacji korzystających z wersji Vungle starszych niż 3.3.0. Jeśli używasz biblioteki zewnętrznej, która obejmuje Vungle, powiadom jej programistów i współpracuj z nimi, by rozwiązać ten problem.
O co chodzi?
Zapoznaj się z powiadomieniem w Konsoli Play. Po przekroczeniu terminów wskazanych w Konsoli Play wszystkie aplikacje z lukami w zabezpieczeniach mogą zostać usunięte z Google Play.
Wymagane działania
- Zaloguj się w Konsoli Play i przejdź do sekcji Alerty, by sprawdzić, których aplikacji dotyczy problem i jaki jest termin jego rozwiązania.
- Zaktualizuj te aplikacje i usuń lukę w zabezpieczeniach.
- Prześlij zaktualizowane wersje tych aplikacji.
Po ponownym przesłaniu aplikacja zostanie jeszcze raz sprawdzona. Ten proces może potrwać kilka godzin. Jeśli aplikacja pomyślnie przejdzie weryfikację i zostanie opublikowana, nie musisz już nic robić. Jeśli wynik weryfikacji nie będzie pomyślny, nowa wersja aplikacji nie zostanie opublikowana, a Ty otrzymasz powiadomienie e-mailem.
Dodatkowe szczegóły
Luka ta może pozwolić hakerom na przeprowadzenie ataku „man-in-the-middle” (MITM) na urządzenia użytkowników. Polega on na przekierowaniu ruchu sieciowego przez serwer proxy, a następnie wstrzyknięciu ładunku danych wyodrębnionego przez aplikację Vungle. Luka została usunięta w Vungle w wersji 3.3.0. Aby sprawdzić używaną wersję Vungle, wyszukaj „VungleDroid/”, używając polecenia grep.
Najnowszą wersję tej biblioteki reklamowej możesz pobrać z witryny Vungle. Jeśli potrzebujesz pomocy przy przejściu na nowszą wersję, wejdź na tę stronę pomocy Vungle. Więcej informacji o tej luce znajdziesz na stronie https://gist.github.com/Fuzion24/6535f8b9dc2a51745173. Jeśli masz pytania techniczne, możesz je opublikować na https://www.stackoverflow.com/questions, używając tagów „android-security” i „vungle”.
Aby potwierdzić, że uaktualnienie się udało, prześlij zaktualizowaną wersję aplikacji do Konsoli Play i sprawdź po pięciu godzinach. Jeśli aplikacja nie została prawidłowo uaktualniona, pojawi się ostrzeżenie.
Uwaga: te problemy nie muszą pojawić się w każdej aplikacji używającej Vungle, ale najlepiej jest na bieżąco wprowadzać wszelkie poprawki zabezpieczeń. Warto poświęcić chwilę na zaktualizowanie aplikacji, które korzystają z nieaktualnych bibliotek zależnych lub mają inne luki w zabezpieczeniach.
Przed opublikowaniem swoich aplikacji upewnij się, że są one zgodne z Umową dystrybucyjną dla deweloperów i Polityką treści.
Chętnie Ci pomożemy
Jeśli masz pytania techniczne związane z tą luką w zabezpieczeniach, możesz je opublikować na Stack Overflow, używając tagu „android-security”. Jeśli potrzebujesz wyjaśnienia czynności potrzebnych do rozwiązania tego problemu, skontaktuj się z naszym zespołem pomocy dla deweloperów.