本文面向的是发布的应用存在以下情况的开发者:使用了低于 3.3.0 的任意版本 Vungle 广告库。这些版本存在安全漏洞,违反了内容政策中关于危险产品的规定和《开发者分发协议》第 4.4 条的相关规定。
请尽快将您的应用迁移到 Vungle v.3.3.0 或更高版本,并增加升级版 APK 的版本号。Google Play 禁止发布任何使用低于 3.3.0 的 Vungle 版本的新应用和应用更新。如果是您使用的第三方库包含 Vungle,请通知该第三方,并与其合作解决此问题。
问题说明
请参阅 Play 管理中心内的通知。在 Play 管理中心内显示的截止日期过后,系统可能会将所有包含未修复安全漏洞的应用从 Google Play 中移除。
需要采取的行动
- 登录您的 Play 管理中心,然后转到“提醒”部分,了解受影响的应用以及解决这些问题的截止日期。
- 更新受影响的应用并修复该漏洞。
- 提交受影响应用的更新版本。
重新提交后,我们会重新审核您的应用。审核过程可能需要几个小时才能完成。如果应用通过审核并成功发布,便无需进一步操作。如果应用未通过审核,则新版应用将无法发布,您会收到电子邮件通知。
更多详细信息
攻击者可能会利用此安全漏洞对用户设备发起中间人攻击,具体方法是使用网络流量代理并注入由 Vungle 应用提取的有效负荷。此漏洞在 Vungle V3.3.0 中已得到解决。要检查您的 Vungle 版本,您可以通过 grep 命令搜索“VungleDroid/”。
您可以从 Vungle 网站下载最新版 Vungle。如需升级方面的帮助,请参阅此 Vungle 支持页面。如需了解有关此漏洞的详细信息,请访问 https://gist.github.com/Fuzion24/6535f8b9dc2a51745173。如果您有其他技术问题,请在 https://www.stackoverflow.com/questions 上发帖咨询(使用“android-security”和“vungle”标签)。
要确认您的应用是否已正确升级,请将更新后的版本提交到 Play 管理中心,并在 5 小时后再回来查看。如果应用并未正确升级,系统将会显示提醒。
注意:尽管这些具体问题并非一定会影响使用 Vungle 的所有应用,但我们仍建议您安装所有最新的安全补丁。另外,如果您的应用包含已过期的关联库或存在其他漏洞,请一并进行更新。
在发布应用前,请先确保这些应用符合开发者分发协议和内容政策的规定。
我们随时为您提供帮助
如果您针对此漏洞有技术方面的问题,可以在 Stack Overflow 上发帖咨询(使用“android-security”标签)。有关您需要采取哪些步骤来解决此问题的说明,请与我们的开发者支持团队联系。