Vungle 취약점이 포함된 앱 수정 방법

3.3.0 이전 버전의 Vungle 광고 라이브러리를 활용하는 앱의 개발자를 위한 정보입니다. 이러한 버전에는 보안 취약점이 포함되어 있으며 콘텐츠 정책의 위험한 제품 조항 및 개발자 배포 계약의 4.4항을 위반합니다.

최대한 빨리 앱을 Vungle v.3.3.0 이상으로 이전하고 업그레이드된 APK의 버전 번호를 올리시기 바랍니다. Google Play에서는 3.3.0 이전 버전의 Vungle을 사용하는 신규 앱 및 업데이트의 게시를 차단할 예정입니다. Vungle이 포함된 타사 라이브러리를 사용 중인 경우 타사에 이 사실을 알려 함께 문제를 해결하시기 바랍니다.

현재 상태

Play Console 공지사항을 참조하세요. Play Console에 표시된 기한이 지난 후에도 보안 취약점이 수정되지 않은 앱은 모두 Google Play에서 삭제될 수 있습니다.

필요한 조치​

  1. Play Console에 로그인한 후 알림 섹션으로 이동하여 영향을 받는 앱과 문제 해결 기한을 확인합니다.
  2. 영향을 받는 앱을 업데이트하여 취약점을 수정합니다.
  3. 영향을 받는 앱의 업데이트된 버전을 제출합니다.

다시 제출하면 앱은 다시 검토 절차를 거치게 되며 이 절차는 몇 시간 정도 걸릴 수 있습니다. 앱이 검토 과정을 통과하고 게시가 완료되면 더 이상의 조치가 필요하지 않습니다. 앱이 검토 과정을 통과하지 못할 경우 새로운 앱 버전은 게시되지 않으며 이메일 알림을 받게 됩니다.

추가 세부정보

이 취약점을 통해 해커가 네트워크 트래픽을 프록시하고 Vungle 앱에서 추출한 페이로드를 삽입하여 기기를 대상으로 중간자 공격(MITM)을 가할 수 있습니다. 이 취약점은 Vungle v3.3.0에서 해결되었습니다. 'VungleDroid/'에 대한 grep 검색을 통해 Vungle 버전을 확인할 수 있습니다.

최신 버전의 Vungle은 Vungle 웹사이트에서 다운로드할 수 있습니다. 업그레이드에 대한 도움말은 Vungle 지원 페이지를 참조하세요. 취약점에 대한 자세한 내용은 https://gist.github.com/Fuzion24/6535f8b9dc2a51745173 페이지를 참조하세요. 다른 기술 관련 질문은 https://www.stackoverflow.com/questions에 'android-security' 및 'Vungle' 태그를 추가하여 게시하세요.

업데이트가 제대로 되었는지 확인하려면 앱의 업데이트 버전을 Play Console에 제출하고 5시간이 지난 후 다시 확인하세요. 앱이 제대로 업그레이드되지 않은 경우 경고 메시지가 표시됩니다.

참고: 이러한 문제가 Vungle을 사용하는 모든 앱에 영향을 주는 것은 아니지만 모든 보안 패치를 최신 상태로 유지하는 것이 가장 좋습니다. 이번 기회에 오래된 버전의 종속 라이브러리나 다른 취약점이 있는 앱을 업데이트하시기 바랍니다.

앱을 게시하기 전에 개발자 배포 계약콘텐츠 정책을 준수하는지 검토하시기 바랍니다.

 

도움이 필요하신가요?

취약점에 관한 기술적인 문의사항이 있다면 'android-security' 태그를 사용하여 Stack Overflow에 게시해 주시기 바랍니다. 문제 해결 절차에 관해 궁금하신 점이 있으면 Google 개발자 지원팀에 문의하세요.

도움이 되었나요?
어떻게 하면 개선할 수 있을까요?