Cómo corregir apps afectadas por la vulnerabilidad de Vungle

Esta información está dirigida a desarrolladores de apps que usen cualquier versión de la biblioteca de anuncios de Vungle anterior a la 3.3.0. Estas versiones contienen una vulnerabilidad de seguridad y, además, infringen la cláusula de Productos Peligrosos de la Política de Contenido y el Artículo 4.4 del Acuerdo de Distribución para Desarrolladores.

Migra las apps a Vungle 3.3.0 (o versiones posteriores) lo antes posible y aumenta el número de versión del APK actualizado. Google Play bloqueará la publicación de actualizaciones y apps nuevas que usen versiones anteriores a Vungle 3.3.0. Si usas la biblioteca de un tercero que incluya Vungle, notifícalo y trabajen juntos para solucionar el problema.

Novedades

Consulta la notificación en tu cuenta de Play ConsoleDespués de los plazos que aparecen en Play Console, es posible que se eliminen de Google Play todas las apps que contengan vulnerabilidades de seguridad no resueltas.

Acción necesaria​

  1. Accede a tu cuenta de Play Console y desplázate a la sección "Alertas" para ver qué apps están afectadas, así como los plazos para resolver los problemas.
  2. Actualiza las apps afectadas y corrige la vulnerabilidad.
  3. Envía las versiones actualizadas de las apps afectadas.

Una vez que las hayas reenviado, revisaremos tu app nuevamente. Este proceso puede demorar varias horas. Si la app pasa la revisión y se publica sin problemas, no se requiere ninguna otra acción. Si la app no pasa la revisión, no se publicará la nueva versión, y recibirás una notificación por correo electrónico.

Detalles adicionales

La vulnerabilidad puede permitir que los agresores lancen un ataque de intermediario (MITM) contra los dispositivos de usuarios mediante un proxy de tráfico de red y una inyección de carga extraída por medio de la app de Vungle. Se pudo solucionar el problema de vulnerabilidad en la versión 3.3.0. Para consultar la versión de Vungle que usas, puedes realizar una búsqueda grep de "VungleDroid/".

Puedes descargar la versión más reciente en el sitio web de Vungle. Si quieres obtener ayuda para realizar la actualización, visita esta página de asistencia de Vungle. Para obtener más información acerca de la vulnerabilidad, visita https://gist.github.com/Fuzion24/6535f8b9dc2a51745173. Si tienes otras preguntas técnicas, puedes realizar una publicación en https://www.stackoverflow.com/questions con las etiquetas "android-security" y "Vungle".

Para confirmar que realizaste la actualización correctamente, envía la versión actualizada a Developer Console y regresa después de cinco horas. Si la app no se actualizó de forma correcta, verás una alerta.

Nota: Si bien es posible que estos problemas no afecten a todas las apps que usan Vungle, es aconsejable que mantengas todos los parches de seguridad actualizados. Actualiza las apps que tengan bibliotecas dependientes desactualizadas y otras vulnerabilidades.

Antes de publicar apps, asegúrate de que cumplan con el Acuerdo de Distribución para Desarrolladores y la Política de Contenido.

 

Estamos aquí para ayudarte

Si tienes preguntas técnicas sobre la vulnerabilidad, publícalas en Stack Overflow con la etiqueta "android-security". Si tienes dudas sobre los pasos que debes seguir para resolver este problema, comunícate con nuestro equipo de asistencia para desarrolladores.