如何修復有 Vungle 安全漏洞的應用程式

開發人員請注意,如果您的應用程式使用 3.3.0 以下版本的 Vungle 廣告庫,請詳閱本文資訊。這些版本含有安全漏洞,違反了《內容政策》的危險產品條款和《開發人員發布協議》第 4.4 條

請儘快將您的應用程式升級至 Vungle 3.3.0 以上版本,並依照累加原則為升級的 APK 設定版本號碼。只要新的應用程式和更新內容使用了 3.3.0 之前的 Vungle 版本,一律禁止在 Google Play 發布。如果您所使用的第三方廣告庫包含 Vungle,請通知該第三方,並與對方合作解決這個問題。

問題說明

請參閱 Play Console 的通知內容。Play Console 顯示的修正期限過後,Google Play 會將尚未修復安全漏洞的應用程式下架。

須採取行動​

  1. 登入 Play Console,然後前往「快訊」專區查看受影響的應用程式以及解決這些問題的期限。
  2. 更新受影響的應用程式並修復安全漏洞。
  3. 提交受影響應用程式的更新版本。

我們將再次審查您重新提交的應用程式,過程可能需要數小時。如果應用程式可以通過審查並成功發布,您就不必採取進一步行動。如果應用程式未能通過審查,就無法發布新的版本,而且您將收到電子郵件通知。

其他詳細資訊

攻擊者可能利用安全漏洞,透過對網路流量進行 Proxy 處理及植入 Vungle 應用程式所擷取的酬載等方式,對使用者的裝置發動攔截式攻擊。Vungle 3.3.0 版已解決安全漏洞問題。如要查看您的 Vungle 版本,可透過 grep 指令搜尋「VungleDroid/」。

您可以從 Vungle 網站下載最新版的 Vungle。如需升級相關協助,請參閱這個 Vungle 支援網頁。如要進一步瞭解安全漏洞,請參閱 https://gist.github.com/Fuzion24/6535f8b9dc2a51745173。如有其他技術問題,請前往 https://www.stackoverflow.com/questions 張貼問題 (使用「android-security」和「vungle」標記)。

為了確認您已正確升級,請將更新版應用程式提交至 Play Console,5 小時過後再返回查看。如果應用程式未正確升級,系統就會顯示警告訊息。

注意:雖然這些特定問題不一定會對每個使用 Vungle 的應用程式造成影響,我們仍建議您安裝所有最新的安全修補程式。此外,如果應用程式含有過舊的相依程式庫或其他安全漏洞,也請您一併更新這類應用程式。

發布應用程式前,請確認應用程式符合《開發人員發布協議》和《內容政策》的規定。

 

我們很樂意提供協助

如有關於安全漏洞的技術問題,請前往 Stack Overflow 張貼問題並加上「android-security」標記。如需進一步瞭解這個問題的解決步驟,歡迎與開發人員支援小組聯絡。

這篇文章實用嗎?
我們應如何改進呢?