Как устранить уязвимость Vungle в приложениях

Эта информация предназначена для разработчиков, в чьих приложениях используются небезопасные версии библиотеки объявлений Vungle (ниже 3.3.0). Эти версии содержат уязвимость и нарушают правила в отношении контента (раздел Вредоносные продукты), а также Соглашение о распространении программных продуктов (раздел 4.4).

Как можно скорее переведите свои приложения на Vungle версии 3.3.0 или выше и обновите номера версий APK-файлов. Google Play прекращает публикацию приложений и обновлений, использующих версии Vungle ниже 3.3.0. Если вы применяете стороннюю библиотеку, включающую Vungle, обратитесь к ее разработчику за помощью в решении проблемы.

Общая информация

Вам необходимо принять меры до даты, указанной в Play Console. После нее приложения, содержащие уязвимости, могут быть удалены из Google Play.

Необходимые действия

  1. Чтобы узнать, какие приложения уязвимы и как скоро нужно устранить проблему, войдите в Play Console и откройте раздел "Оповещения".
  2. Обновите приложения и устраните уязвимость.
  3. Опубликуйте обновленные версии приложений.

После этого мы проведем повторную проверку, которая может занять несколько часов. Если уязвимость устранена и вы видите, что приложение опубликовано, дополнительных действий не потребуется. Если проблема не решена, новая версия не будет опубликована и вы получите уведомление по электронной почте.

Сведения об уязвимости

Используя эту уязвимость, злоумышленник может запустить на устройствах пользователей атаку типа "человек посередине". В результате сетевой трафик будет перенаправляться на прокси-сервер и в него будут добавляться данные, извлеченные приложением Vungle. В библиотеке Vungle версии 3.3.0 эта уязвимость устранена. Чтобы узнать, какую версию Vungle вы используете, выполните поиск выражения "VungleDroid/" с помощью команды grep.

Последнюю версию библиотеки объявлений можно скачать с веб-сайта Vungle. Инструкции по обновлению вы найдете на сайте поддержки Vungle. Подробнее об уязвимости рассказано на странице https://gist.github.com/Fuzion24/6535f8b9dc2a51745173. Технические вопросы можно задать на сайте https://www.stackoverflow.com/questions (используйте теги android-security и vungle).

Чтобы убедиться в том, что вы корректно обновили приложение, загрузите его последнюю версию в Play Console и проверьте результат через пять часов. Если мы обнаружим ошибку, вы увидите предупреждение.

Примечание. Хотя описанная выше уязвимость может затрагивать не все приложения с библиотекой Vungle, мы рекомендуем своевременно устанавливать все обновления, связанные с безопасностью. Обновите приложения, при создании которых использовались устаревшие и уязвимые библиотеки.

Прежде чем опубликовать приложение, убедитесь, что оно соответствует условиям Соглашения о распространении программных продуктов и Правилам в отношении контента.

 

Мы всегда рады помочь!

Если у вас есть вопросы, задайте их, используя тег android-security. Чтобы получить более подробные разъяснения, свяжитесь с командой поддержки для разработчиков.

Эта информация оказалась полезной?
Как можно улучшить эту статью?