Cómo solucionar las vulnerabilidades de MoPub en tus apps

Esta información está dirigida a desarrolladores de apps que usen cualquier versión de la biblioteca de anuncios de MoPub anterior a la 4.4.0. Esas versiones contienen una vulnerabilidad de seguridad.Migra tus apps a MoPub v4.4.0 o una versión posterior lo antes posible y aumenta el número de versión del APK actualizado.

Novedades

A partir del 11 de julio de 2016, Google Play comenzó a bloquear la publicación de apps nuevas o actualizaciones que usan versiones anteriores de MoPub. Consulta la notificación en tu cuenta de Play Console. Después de los plazos que aparecen en Play Console, es posible que se eliminen de Google Play todas las apps que contengan vulnerabilidades de seguridad no resueltas.

Acción necesaria​

  1. Accede a tu cuenta de Play Console y desplázate a la sección "Alertas" para ver qué apps están afectadas, así como los plazos para resolver los problemas.
  2. Actualiza las apps afectadas y corrige la vulnerabilidad.
  3. Envía las versiones actualizadas de las apps afectadas.

Una vez que las hayas reenviado, revisaremos tu app nuevamente. Este proceso puede demorar varias horas. Si la app pasa la revisión y se publica sin problemas, no se requiere ninguna otra acción. Si la app no pasa la revisión, no se publicará la nueva versión, y recibirás una notificación por correo electrónico.

Detalles adicionales

Descarga la versión más reciente de MoPub aquí. Si necesitas ayuda para actualizar la versión, escribe a support@mopub.com. Si usas una biblioteca de un tercero que incluya MoPub, tendrás que actualizarla a una versión que use MoPub 4.4.0 o una versión posterior.

La vulnerabilidad se debe a problemas en la configuración predeterminada de WebView. Un atacante podría aprovechar esta vulnerabilidad y publicar un código JavaScript malicioso en la creatividad de un anuncio, lo que posibilitaría la interferencia en los recursos locales privados de los dispositivos. En dispositivos Android con versiones anteriores de API 16, el atacante incluso podría acceder a los recursos locales. Si tienes alguna consulta sobre cuestiones técnicas, publica un comentario en Stack Overflow y usa la etiqueta "android-security".

Si estás creando una app con Jcenter AAR y quieres confirmar el número de versión, comprueba la configuración de Gradle y asegúrate de que sea la versión 4.4.0. Si la creas directamente desde la fuente o sin usar Gradle y deseas confirmar el número de versión, comprueba SDK_VERSION en com.mopub.common.MoPub.java.

Si bien es posible que estos problemas específicos no afecten a todas las apps que usan MoPub, es aconsejable que mantengas todos los parches de seguridad actualizados. Es posible que aquellas apps con vulnerabilidades que comprometan la seguridad de los usuarios se consideren en incumplimiento de nuestra Política de Comportamiento Malicioso y el Artículo 4.4 del Acuerdo de Distribución para Desarrolladores.

Las apps también deben cumplir con el Acuerdo de Distribución para Desarrolladores y la Política de Contenido

Estamos aquí para ayudarte

Si tienes preguntas técnicas sobre la vulnerabilidad, publícalas en Stack Overflow con la etiqueta "android-security". Si tienes dudas sobre los pasos que debes seguir para resolver este problema, comunícate con nuestro equipo de asistencia para desarrolladores.