Queste informazioni sono rivolte agli sviluppatori di app che utilizzano versioni della libreria di annunci di Vungle precedenti alla versione 3.3.0. Tali versioni presentano una vulnerabilità di sicurezza che vìola la disposizione sui prodotti dannosi delle norme relative ai contenuti e la sezione 4.4 del Contratto di distribuzione per gli sviluppatori.
Esegui la migrazione delle tue app a Vungle 3.3.0 o versioni successive appena possibile e incrementa il numero della versione dell'APK aggiornato. Google Play bloccherà la pubblicazione di nuove app e aggiornamenti che utilizzano versioni di Vungle precedenti alla versione 3.3.0. Se utilizzi una libreria di terze parti che comprende Vungle, informa la terza parte e cercate di risolvere insieme il problema.
Situazione attuale
Consulta la notifica sulla Play Console. Passate le scadenze indicate nella Play Console, tutte le app che contengono vulnerabilità di sicurezza non corrette verranno rimosse da Google Play.
Azione richiesta
- Accedi alla Play Console e vai alla sezione Avvisi per scoprire quali app sono interessate dai problemi e le scadenze per risolverli.
- Aggiorna le app interessate e correggi la vulnerabilità.
- Invia le versioni aggiornate delle tue app coinvolte.
Quando invii nuovamente le app, queste vengono riesaminate. Questa procedura può richiedere diverse ore. Se l'app supera il controllo e viene pubblicata correttamente, non sono necessari ulteriori interventi. Se l'app non supera il controllo, la nuova versione dell'app non verrà pubblicata e riceverai una notifica via email.
Ulteriori dettagli
La vulnerabilità può consentire a utenti malintenzionati di lanciare un attacco man-in-the-middle contro i dispositivi degli utenti eseguendo il proxy del traffico di rete e inserendo un payload estratto dall'app Vungle. La vulnerabilità è stata risolta nella versione 3.3.0 di Vungle. Per verificare la tua versione di Vungle, puoi eseguire una ricerca grep per la stringa "VungleDroid/".
Puoi scaricare la versione più recente di Vungle tramite il sito web di Vungle. Per ricevere assistenza per l'upgrade, visita questa pagina di supporto di Vungle. Per ulteriori informazioni sulla vulnerabilità, visita la pagina https://gist.github.com/Fuzion24/6535f8b9dc2a51745173. Pubblica eventuali altre domande di carattere tecnico su https://www.stackoverflow.com/questions con i tag "android-security" e "vungle".
Per verificare di avere eseguito correttamente l'upgrade, invia la versione aggiornata alla Developer Console e ricontrolla dopo cinque ore. Se l'upgrade dell'app non è stato eseguito correttamente, verrà visualizzato un avviso.
Nota: anche se questi problemi specifici potrebbero non riguardare ogni app che utilizza Vungle, è meglio essere sempre aggiornati su tutte le patch di sicurezza. Ti invitiamo ad aggiornare le app con librerie dipendenti obsolete o con altre vulnerabilità.
Prima di pubblicare app, assicurati che siano conformi al Contratto di distribuzione per gli sviluppatori e alle Norme relative ai contenuti.
Siamo qui per aiutarti
Puoi pubblicare eventuali domande tecniche relative alla vulnerabilità su Stack Overflow con il tag "android-security". Per chiarimenti sui passaggi da seguire per risolvere il problema, puoi contattare il nostro team di assistenza per gli sviluppatori.