この情報は、アプリでバージョン 3.3.0 より前のすべてのバージョンの Vungle 広告ライブラリを使用しているデベロッパーを対象としています。3.3.0 より前のバージョンには、ユーザーデータを危機にさらすセキュリティ上の脆弱性が含まれています。
早急にアプリを Vungle v.3.3.0 以降に移行し、アップグレードした APK のバージョン番号を更新してください。Google Play では 3.3.0 より前のバージョンの Vungle を使用する新しいアプリやアップデートの公開がブロックされます。Vungle を含むサードパーティ ライブラリをお使いの場合は、この問題の解決について該当のサードパーティにサポートを依頼してください。
状況
詳しくは Play Console の通知をご覧ください。Play Console に表示されている期限を過ぎた後もセキュリティの脆弱性が修正されていないアプリは、Google Play から削除される場合があります。
必要な対応
- Play Console にログインし、[アラート] セクションで該当するアプリや問題の解決期限を確認します。
- 該当のアプリを更新し、脆弱性を修正します。
- 該当するアプリの更新バージョンを送信します。
再送信すると、アプリは再度審査されます。審査には数時間ほどかかることがあります。アプリが審査に合格して正常に公開された場合は、これ以上の対応は不要です。アプリが審査に不合格となった場合、アプリの更新バージョンは公開されず、メールで通知が届きます。
その他の詳細
この脆弱性があると、攻撃者がネットワーク トラフィックをプロキシしたり、Vungle アプリが抽出したペイロードを注入したりして、ユーザーのデバイスに中間者攻撃(MITM)を仕掛けられるようになります。この脆弱性は Vungle v3.3.0 で解決されています。お使いの Vungle のバージョンを確認するには、grep で「VungleDroid/」を検索してください。
Vungle の最新バージョンは Vungle のウェブサイトからダウンロードできます。アップグレードについてサポートが必要な場合は、Vungle のこちらのサポートページをご覧ください。この脆弱性について詳しくは、https://gist.github.com/Fuzion24/6535f8b9dc2a51745173 をご覧ください。その他の技術的な質問については、https://www.stackoverflow.com/questions にタグ「android-security」および「vungle」を使用してご投稿ください。
正しくアップグレードされたことを確認するには、更新したバージョンを Play Console に送信して、5 時間後に再度確認してください。アプリが正しくアップグレードされていない場合は、警告が表示されます。
注: この問題が Vungle を使用するすべてのアプリに影響するとは限りませんが、常に最新のセキュリティ パッチをすべて適用することをおすすめします。この機会に、古い従属ライブラリやその他の脆弱性を含むアプリを更新してください。
アプリを公開する前に、そのアプリがデベロッパー販売 / 配布契約とコンテンツ ポリシーに準拠していることをご確認ください。
サポートのご案内
脆弱性に関する技術的なご質問については、Stack Overflow にご投稿ください。その際、「android-security」タグをご利用ください。この問題を解決するための手順で不明な点がありましたら、デベロッパー サポートチームにお問い合わせください。