Solucionar las vulnerabilidades de MoPub en tus aplicaciones

Esta información está destinada a los desarrolladores de aplicaciones que utilizan cualquier versión de MoPub (una plataforma publicitaria) anterior a la versión 4.4.0. Estas versiones contienen una vulnerabilidad de seguridad. Migra tus aplicaciones a MoPub v4.4.0 o una versión posterior lo antes posible e incrementa el número de versión de los APK actualizados.

¿Qué va a cambiar?

El 11 de julio del 2016, Google Play empezó a bloquear la publicación de aplicaciones y actualizaciones que usaban versiones anteriores de MoPub. Consulta el aviso en Play ConsoleUna vez que finalice el plazo indicado en Play Console, es posible que las aplicaciones que contengan vulnerabilidades de seguridad sin corregir se retiren de Google Play.

Acción necesaria​

  1. Inicia sesión en Play Console y ve a la sección Alertas para consultar qué aplicaciones están afectadas y las fechas límite para resolver estos problemas.
  2. Actualiza las aplicaciones afectadas y corrige la vulnerabilidad.
  3. Envía las versiones actualizadas de las aplicaciones afectadas.

Cuando vuelvas a enviar tus aplicaciones, se revisarán de nuevo. Este proceso puede tardar varias horas en completarse. Si una aplicación supera el proceso de revisión y se publica, no tendrás que hacer nada más. De lo contrario, la nueva versión de la aplicación no se publicará y recibirás una notificación por correo electrónico.

Información adicional

Descarga la última versión de MoPub en esta página. Escribe un correo electrónico a la dirección support@mopub.com si necesitas ayuda para actualizar tu versión. Si utilizas una biblioteca externa que incluya MoPub, debes actualizarla a una versión con MoPub 4.4.0 o versiones posteriores.

La vulnerabilidad se debe a la configuración por defecto no segura de WebView. Es posible que un atacante pueda aprovechar esta vulnerabilidad para proporcionar un código JavaScript malicioso en una creatividad de publicidad y deducir la existencia de recursos locales potencialmente confidenciales en los dispositivos. En los dispositivos Android con versiones anteriores a la API 16, el atacante puede acceder incluso a recursos locales. Si tienes alguna otra pregunta técnica, puedes publicarla en Stack Overflow y utilizar las etiquetas "android-security".

Si desarrollas con ARR de JCenter y quieres confirmar el número de versión, puedes comprobar tu configuración de Gradle para comprobar que la versión sea la 4.4.0. Si desarrollas directamente desde el código fuente o no utilizas Gradle y quieres confirmar el número de versión, puedes comprobar el código com.mopub.common.MoPub.java de SDK_VERSION.

Ten en cuenta que, aunque es posible que estos problemas específicos no afecten a todas las aplicaciones que utilicen MoPub, te recomendamos que mantengas todos los parches de seguridad actualizados. Es posible que se considere que las aplicaciones con vulnerabilidades que supongan un riesgo para la seguridad de los usuarios infringen la política de comportamiento malicioso y la sección 4.4 del Acuerdo de Distribución para Desarrolladores de Google Play.

Asimismo, las aplicaciones deben cumplir el Acuerdo de Distribución para Desarrolladores y las políticas del programa para desarrolladores

Queremos ayudarte

Si tienes alguna pregunta técnica sobre esta vulnerabilidad, puedes publicarla en Stack Overflow con la etiqueta "android-security". Ponte en contacto con nuestro equipo de asistencia para desarrolladores si necesitas más información para resolver este problema.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?