Thông tin này dành cho nhà phát triển ứng dụng sử dụng bất kỳ phiên bản nào của thư viện quảng cáo Vungle trước phiên bản 3.3.0. Các phiên bản này có chứa lỗ hổng bảo mật và vi phạm quy định về Sản phẩm nguy hiểm của Chính sách nội dung cũng như phần 4.4 trong Thỏa thuận phân phối dành cho nhà phát triển.
Vui lòng di chuyển (các) ứng dụng của bạn sang Vungle v.3.3.0 trở lên sớm nhất có thể và sử dụng APK nâng cấp có số phiên bản cao hơn. Google Play sẽ chặn xuất bản mọi ứng dụng và bản cập nhật mới sử dụng phiên bản Vungle trước 3.3.0. Nếu bạn đang sử dụng thư viện của bên thứ ba bao gồm Vungle, vui lòng thông báo cho bên thứ ba và làm việc với họ để giải quyết sự cố này.
Chuyện gì sẽ xảy ra
Vui lòng tham khảo thông báo trên Play Console của bạn.Sau thời hạn hiển thị trong Play Console, chúng tôi có thể xóa mọi ứng dụng có lỗ hổng bảo mật chưa được khắc phục khỏi Google Play.
Hành động cần thiết
- Đăng nhập vào Play Console và chuyển đến phần Cảnh báo để xem những ứng dụng bị ảnh hưởng và thời hạn giải quyết những vấn đề này.
- Cập nhật các ứng dụng bị ảnh hưởng và khắc phục lỗ hổng.
- Gửi phiên bản cập nhật của các ứng dụng bị ảnh hưởng.
Sau khi bạn gửi lại, chúng tôi sẽ xem xét lại ứng dụng của bạn. Quá trình này có thể mất vài giờ. Nếu ứng dụng vượt qua quy trình xem xét và được xuất bản thành công thì bạn không cần thực hiện thêm hành động nào. Nếu ứng dụng không vượt qua được quy trình xem xét thì phiên bản ứng dụng mới sẽ không được xuất bản và bạn sẽ nhận được thông báo qua email.
Thông tin chi tiết bổ sung
Lỗ hổng bảo mật có thể cho phép kẻ tấn công phát động cuộc tấn công qua kẻ trung gian (MITM) vào thiết bị của người dùng, bằng cách ủy quyền lưu lượng truy cập mạng và chèn trọng tải phải trả tiền do ứng dụng Vungle trích xuất. Lỗ hổng bảo mật này đã được vá trong Vungle v3.3.0. Để kiểm tra phiên bản Vungle, bạn có thể thực hiện tìm kiếm grep cho “VungleDroid/”.
Bạn có thể tải xuống phiên bản Vungle mới nhất từ trang web của Vungle. Để được trợ giúp khi nâng cấp, hãy xem trang hỗ trợ này của Vungle. Để biết thêm thông tin về lỗ hổng bảo mật, vui lòng xem https://gist.github.com/Fuzion24/6535f8b9dc2a51745173. Nếu bạn có các câu hỏi kỹ thuật khác, hãy đăng lên https://www.stackoverflow.com/questions và sử dụng thẻ “android-security” và “vungle”.
Để xác nhận rằng bạn đã nâng cấp đúng cách, hãy gửi phiên bản đã cập nhật đến Developer Console rồi kiểm tra lại sau năm giờ. Nếu ứng dụng chưa được nâng cấp đúng cách, chúng tôi sẽ hiển thị thông báo.
Lưu ý: Mặc dù các sự cố cụ thể này có thể không ảnh hưởng đến mọi ứng dụng sử dụng Vungle nhưng tốt nhất bạn nên duy trì cập nhật tất cả các bản vá bảo mật. Vui lòng dành thời gian để cập nhật các ứng dụng có thư viện phụ thuộc lỗi thời hoặc các lỗ hổng khác.
Trước khi xuất bản ứng dụng, vui lòng đảm bảo các ứng dụng đó tuân thủ Thỏa thuận phân phối dành cho nhà phát triển và Chính sách nội dung.
Chúng tôi sẵn sàng trợ giúp
Nếu có câu hỏi kỹ thuật về lỗ hổng bảo mật, bạn có thể đăng lên Stack Overflow và sử dụng thẻ “android-security”. Để biết rõ các bước cần thực hiện nhằm giải quyết vấn đề này, bạn có thể liên hệ với nhóm hỗ trợ nhà phát triển của chúng tôi.