Estas informações destinam-se aos programadores de aplicações que utilizam qualquer versão da biblioteca de anúncios do Vungle anterior à versão 3.3.0. Estas versões incluem uma vulnerabilidade de segurança e violam a disposição sobre Produtos perigosos da Política de Conteúdos e a secção 4.4 do Contrato de Distribuição para Programadores.
Migre as suas aplicações para o Vungle v.3.3.0 ou superior assim que possível e aumente o número de versão do APK atualizado. O Google Play irá bloquear a publicação de quaisquer novas aplicações e atualizações que utilizem versões do Vungle anteriores à 3.3.0. Se utilizar uma biblioteca de terceiros que inclua o Vungle, notifique essa parte e trabalhe com ela para resolver esta questão.
O que está a acontecer
Consulte o aviso na Play Console. Após os prazos apresentados na Play Console, as aplicações que contenham vulnerabilidades de segurança não corrigidas poderão ser removidas do Google Play.
Ação necessária
- Inicie sessão na Play Console e navegue até à secção Alertas para ver quais as aplicações afetadas e os prazos para resolver estes problemas.
- Atualize as aplicações afetadas e corrija a vulnerabilidade.
- Envie as versões atualizadas das aplicações afetadas.
Depois de voltar a enviar, a sua aplicação será revista novamente. Este processo pode demorar várias horas. Se a aplicação obtiver a aprovação na revisão e for publicada com êxito, não será necessária qualquer ação adicional. Se a aplicação falhar na revisão, a nova versão da aplicação não será publicada e receberá uma notificação por email.
Detalhes adicionais
A vulnerabilidade pode permitir que utilizadores mal-intencionados lancem um ataque de intrusos (MITM) contra os dispositivos dos utilizadores ao utilizar um proxy para o tráfego de rede e injetar um payload extraído pela aplicação Vungle. A vulnerabilidade foi resolvida na versão 3.3.0 do Vungle. Para verificar a sua versão do Vungle, pode efetuar uma pesquisa grep por "VungleDroid/".
Pode transferir a versão mais recente do Vungle a partir do Website do Vungle. Para obter ajuda relacionada com a atualização, consulte esta página de apoio técnico do Vungle. Para obter mais informações acerca da vulnerabilidade, consulte https://gist.github.com/Fuzion24/6535f8b9dc2a51745173. Se tiver outras questões técnicas, publique em https://www.stackoverflow.com/questions e utilize as etiquetas "android-security" e "vungle".
Para confirmar se fez a atualização corretamente, envie a versão atualizada para a Developer Console e verifique novamente após cinco horas. Se a aplicação não tiver sido atualizada corretamente, apresentamos um alerta.
Nota: apesar de estes problemas específicos poderem não afetar todas as aplicações que utilizam o Vungle, é melhor manter-se atualizado no que respeita a todos os patches de segurança. Aproveite esta oportunidade para atualizar aplicações com bibliotecas dependentes desatualizadas ou com outras vulnerabilidades.
Antes de publicar aplicações, certifique-se de que estas estão em conformidade com o Contrato de Distribuição para Programadores e a Política de Conteúdos.
Estamos aqui para ajudar
Se tiver perguntas técnicas acerca da vulnerabilidade, pode publicar uma mensagem no Stack Overflow e utilizar a etiqueta "android-security". Para obter um esclarecimento sobre os passos que tem de efetuar para resolver este problema, pode contactar a nossa equipa de apoio técnico a programadores.