Тази информация е предназначена за програмисти на приложения, които използват версии на рекламната библиотека Vungle, по-стари от 3.3.0. Тези версии имат уязвимост в сигурността и са в нарушение на клаузата за опасните продукти от Правилата за съдържанието и раздел 4.4 на Споразумението с програмистите относно разпространението.
Моля, възможно най-скоро променете приложението или съответно приложенията си, така че да използват Vungle 3.3.0 или по-нова версия, и увеличете номера на версията на надстроения APK файл. Google Play ще блокира публикуването на нови приложения и актуализации с версии, по-стари от 3.3.0. Ако използвате библиотека на трета страна, която съдържа Vungle, моля, уведомете третата страна за проблема и работете съвместно по решаването му.
Какво се случва
Моля, вижте известието в Play Console. След крайните срокове, показани в Play Console, всички приложения, които съдържат уязвимости в сигурността, може да бъдат премахнати от Google Play.
Изисква се действие
- Влезте в профила си в Play Console и преминете към секцията „Сигнали“, за да видите кои приложения са засегнати и крайните срокове за решаване на тези проблеми.
- Актуализирайте засегнатите приложения и отстранете уязвимостта.
- Изпратете актуализираните версии на засегнатите приложения.
При повторно изпращане приложението ви ще бъде прегледано отново. Този процес може да отнеме няколко часа. Ако приложението премине проверката и бъде публикувано успешно, няма нужда да правите нищо повече. В противен случай новата му версия няма да бъде публикувана и ще получите известие по имейл.
Допълнителни подробности
Уязвимостта може да доведе до извършването на атаки от типа „човек по средата“ срещу устройствата на потребителите чрез пренасочване на трафика в мрежата през прокси сървър и вмъкване на полезен обем, извлечен от приложението Vungle. Уязвимостта е отстранена във версия 3.3.0 на Vungle. За да проверите коя версия използвате, можете да потърсите „VungleDroid/“ чрез командата grep.
Най-новата версия на приложението може да бъде изтеглена от уебсайта на Vungle. За помощ при надстройването вижте тази страница за поддръжка. За още информация относно уязвимостта, моля, посетете https://gist.github.com/Fuzion24/6535f8b9dc2a51745173. Ако имате други технически въпроси, можете да ги публикувате на адрес https://www.stackoverflow.com/questions и да използвате маркерите android-security и vungle.
За да потвърдите, че сте надстроили правилно, изпратете актуализираната версия до Play Console и проверете отново след пет часа. Ако приложението не е надстроено по необходимия начин, ще видите предупреждение.
Забележка: Макар че е възможно тези конкретни проблеми да не засегнат всяко приложение, което използва Vungle, най-добре е да имате всички най-актуални корекции за сигурност. Моля, отделете време, за да актуализирате приложенията с неактуални зависими библиотеки или други уязвимости.
Преди да публикувате приложения, моля, уверете се, че спазват Споразумението с програмистите относно разпространението и Правилата за съдържанието.
На ваше разположение сме
Ако имате технически въпроси относно уязвимостта, можете да ги публикувате в Stack Overflow и да използвате маркера android-security. За разяснение на стъпките, които трябва да изпълните, за да решите проблема, можете да се свържете с екипа ни за поддръжка за програмисти.