Te informacije so namenjene razvijalcem aplikacij, ki uporabljajo katero koli različico knjižnice oglasov Vungle, starejšo od 3.3.0. Te različice vsebujejo varnostno ranljivost in kršijo določilo pravilnika o vsebini glede nevarnih izdelkov ter razdelek 4.4 pogodbe o distribuciji za razvijalce.
V aplikacijah čim prej začnite uporabljati različico Vungle v3.3.0 in spremenite številko različice nadgrajenega APK-ja. Google Play bo blokiral objavo vseh novih aplikacij in posodobitev, ki uporabljajo različice knjižnice Vungle, starejše od 3.3.0. Če uporabljate knjižnico drugega ponudnika, ki vključuje Vungle, obvestite drugega ponudnika in poskusite skupaj odpraviti težavo.
Kaj se dogaja?
Preberite obvestilo v Konzoli Play. Morebitne aplikacije, ki imajo po rokih, navedenih v Konzoli Play, še vedno varnostne ranljivosti, bodo morda odstranjene iz Googla Play.
Potrebno ukrepanje
- Prijavite se v Konzolo Play in pojdite v razdelek Opozorila, kjer si lahko ogledate aplikacije, na katere se to nanaša, in roke, do katerih je treba odpraviti težave.
- Posodobite aplikacije, ki jih to zadeva, in odpravite ranljivost.
- Pošljite posodobljene različice aplikacij, ki jih to zadeva.
Ko aplikacijo znova pošljete, jo bomo spet pregledali. Ta postopek lahko traja več ur. Če aplikacija uspešno opravi pregled in je objavljena, ni potrebno dodatno ukrepanje. Če pregled ni uspešen, nova različica aplikacije ne bo objavljena in boste prejeli e-poštno obvestilo.
Dodatne informacije
Ranljivost lahko napadalcem omogoča izvedbo omrežnega napada na uporabniške naprave s posredovanjem prometa (t.i. »man in the middle«), pri katerem preusmeri omrežni promet in vrine paket, ki ga izvleče knjižnica Vungle. Ranljivost je bila odpravljena v različici Vungle 3.3.0. Če želite preveriti različico knjižnice Vungle, lahko z orodjem »grep« poiščete »VungleDroid/«.
Najnovejšo različico knjižnice Vungle lahko prenesete s spletnega mesta knjižnice Vungle. Pomoč pri nadgradnji je na voljo na tej strani s podporo za Vungle. Več informacij o ranljivosti je na voljo tukaj: https://gist.github.com/Fuzion24/6535f8b9dc2a51745173. Če imate druga tehnična vprašanja, jih objavite na spletnem mestu https://www.stackoverflow.com/questions ter uporabite oznaki »android-security« in »vungle«.
Če želite preveriti, ali ste pravilno nadgradili, posodobljeno različico pošljite v konzolo za razvijalce in čez pet ur znova preverite. Če aplikacija ni pravilno nadgrajena, se prikaže opozorilo.
Opomba: te težave morda ne bodo vplivale na vse aplikacije, ki uporabljajo Vungle, vendar vseeno priporočamo, da imate vedno nameščene vse varnostne popravke. Vzemite si čas in posodobite aplikacije, ki imajo zastarele odvisne knjižnice ali druge ranljivosti.
Pred objavo aplikacij poskrbite, da bodo skladne s pogodbo o distribuciji za razvijalce in pravilnikom o vsebini.
Tu smo, da vam pomagamo
Če imate tehnična vprašanja glede ranljivosti, jih objavite v skupnosti Stack Overflow in uporabite oznako »android-security«. Če potrebujete pojasnilo postopka, ki ga morate uporabiti za odpravljanje te težave, se lahko obrnete na skupino za podporo razvijalcem.