Como corrigir apps com a vulnerabilidade do Vungle

Estas informações são destinadas aos desenvolvedores de apps que utilizam versões anteriores à 3.3.0 do Vungle. Essas versões têm uma vulnerabilidade de segurança e violam a cláusula de Produtos perigosos da Política de conteúdo e a seção 4.4 do Contrato de distribuição do desenvolvedor.

Migre seus apps para a versão 3.3.0 ou posterior do Vungle assim que possível e aumente o número da versão do APK atualizado. O Google Play bloqueará a publicação de atualizações e de novos apps que usarem versões do Vungle anteriores à 3.3.0. Caso você use uma biblioteca de terceiros que inclua o Vungle, informe esses terceiros sobre o problema e trabalhe com eles para encontrar soluções.

O que está acontecendo

Consulte o aviso no Play ConsoleApós os prazos exibidos no Play Console, todos os apps com vulnerabilidades de segurança não corrigidas poderão ser removidos do Google Play.

Ação necessária​

  1. Faça login no Play Console e acesse a seção "Alertas" para ver os apps afetados e os prazos para resolver os problemas.
  2. Atualize esses apps e corrija a vulnerabilidade.
  3. Envie as versões atualizadas dos apps afetados.

Após o reenvio, seu app será revisado novamente. Esse processo pode levar várias horas. Se o app for aprovado na revisão e publicado, nenhuma outra ação será necessária. Se ele for reprovado, a nova versão não será publicada, e você receberá uma notificação por e-mail.

Detalhes adicionais

A vulnerabilidade permite ataques man-in-the-middle (MITM) nos dispositivos de usuários usando um proxy no tráfego de rede e inserindo uma carga útil extraída pelo app Vungle. Essa vulnerabilidade foi corrigida no Vungle v3.3.0. Para verificar qual é sua versão do Vungle, use o comando grep "VungleDroid/" para pesquisar.

A versão mais recente do Vungle está disponível para download no site da Vungle. Se precisar de ajuda com o upgrade, acesse a página de suporte do Vungle. Para mais informações sobre a vulnerabilidade, acesse https://gist.github.com/Fuzion24/6535f8b9dc2a51745173 (em inglês). Se você tiver outras dúvidas técnicas, escreva uma postagem em https://www.stackoverflow.com/questions e use as tags "android-security" e "vungle".

Para confirmar que o upgrade foi feito corretamente, envie a versão atualizada ao Play Console e confira o resultado após cinco horas. Se houver problemas no upgrade do app, mostraremos um alerta.

Observação: mesmo que esses problemas específicos não afetem todos os apps que usam o Vungle, recomendamos manter todos os patches de segurança atualizados. Atualize os apps que têm versões antigas de bibliotecas dependentes ou outras vulnerabilidades.

Antes de publicar apps, verifique se eles estão em conformidade com o Contrato de distribuição do desenvolvedor e a Política de conteúdo.

 

Estamos aqui para ajudar

Se você tiver dúvidas técnicas sobre a vulnerabilidade, escreva uma postagem no Stack Overflow e use a tag "android-security". Caso precise de mais informações sobre as etapas necessárias para resolver esse problema, entre em contato com nossa equipe de suporte ao desenvolvedor.

Isso foi útil?
Como podemos melhorá-lo?