Oprava aplikací s chybou zabezpečení knihovny Vungle

Tyto informace jsou určeny vývojářům aplikací, kteří používají jakoukoli verzi inzertní knihovny Vungle starší než 3.3.0. Tyto verze obsahují chybu zabezpečení, a jsou proto v rozporu s ustanovením o nebezpečných produktech v obsahových zásadách a s odstavcem 4.4 distribuční smlouvy pro vývojáře.

Co nejdříve aplikace migrujte na verzi SDK Vungle 3.3.0 nebo vyšší a zvyšte číslo verze upgradovaného souboru APK. Publikování nových aplikací a aktualizací, které používají SDK Vungle verze starší než 3.3.0, bude služba Google Play blokovat. Pokud používáte knihovnu třetí strany, která zahrnuje Vungle, informujte o tomto problému příslušnou třetí stranu a společně jej vyřešte.

Co se děje

Další informace najdete v oznámení ve službě Play Console. Po termínech uvedených v Play Console mohou být aplikace s neopravenými chybami zabezpečení z Google Play odstraněny.

Vyžadovaná akce

  1. Přihlaste se do Play Console a přejděte do sekce Upozornění, kde zjistíte, kterých aplikací se tento problém týká a do kdy je potřeba jej vyřešit.
  2. Aktualizujte dotčené aplikace a chybu zabezpečení opravte.
  3. Odešlete aktualizované verze dotčených aplikací.

Po odeslání bude aplikace znovu zkontrolována. Tento proces může trvat několik hodin. Pokud aplikace při kontrole projde a bude úspěšně publikována, není potřeba podnikat žádné další kroky. Jestliže aplikace při kontrole neprojde, nová verze aplikace nebude publikována a obdržíte e‑mailem oznámení.

Další podrobnosti

Tuto chybu mohou útočníci využít k útoku typu man-in-the-middle na zařízení uživatele tím, že zprostředkují síťový provoz a vloží do něj obsah, který aplikace Vungle rozbalí. Tato chyba zabezpečení byla vyřešena v SDK Vungle verze 3.3.0. Verzi SDK Vungle můžete ověřit tak, že nástrojem grep vyhledáte výraz „VungleDroid/“.

Nejnovější verzi SDK Vungle lze stáhnout z webu Vungle. Nápovědu k upgradování naleznete na této stránce podpory Vungle. Další informace o této chybě zabezpečení naleznete na stránce https://gist.github.com/Fuzion24/6535f8b9dc2a51745173. Máte-li jiné technické dotazy, publikujte je na stránce https://www.stackoverflow.com/questions a použijte štítky „android-security“ a „vungle“.

Chcete-li si ověřit, zda jste upgrade provedli správně, odešlete do konzole Developer Console aktualizovanou verzi a za pět hodin ji zkontrolujte. Pokud aplikace nebyla správně upgradována, zobrazí se upozornění.

Poznámka: Ačkoli tyto konkrétní problémy nemusejí mít dopad na každou aplikaci, která používá SDK Vungle, doporučujeme instalovat všechny opravy zabezpečení. Aplikace, které používají zastaralé knihovny nebo mají jiné chyby zabezpečení, prosím během této doby aktualizujte.

Před publikováním aplikací se ujistěte, zda jsou v souladu s distribuční smlouvou pro vývojářeobsahovými zásadami.

 

Rádi vám poradíme

Máte-li ohledně této zranitelnosti technické dotazy, publikuje příspěvek na webu Stack Overflow. Použijte štítek „android-security“. Pokud potřebujete poradit s jednotlivými kroky k řešení tohoto problému, obraťte se na náš tým podpory pro vývojáře.