Cómo solucionar las vulnerabilidades de MoPub en tus apps

Esta información está dirigida a los programadores de apps que usen cualquier versión de MoPub (una plataforma de anuncios) anterior a la versión 4.4.0, ya que estas versiones contienen una vulnerabilidad de seguridad.

Migra tus apps a la versión 4.4.0 de MoPub o a una versión posterior lo antes posible y aumenta el número de versión del APK actualizado. A partir del 11 de julio de 2016, Google Play bloqueará la publicación de cualquier actualización o app nueva que use versiones anteriores de MoPub. No se verá afectada la versión de tu APK publicado, pero se bloquearán las actualizaciones que realices de la app, a menos que soluciones esta vulnerabilidad.

Sigue estos pasos:

  1. Descarga la versión más reciente de MoPub aquí.
  2. Si necesitas ayuda para actualizar la versión, comunícate con support@mopub.com
  3. Accede a Developer Console y envía la versión actualizada de tu app.
  4. Regresa después de cinco horas. Si la app no se actualizó correctamente, aparecerá un mensaje de advertencia. 

Si usas una biblioteca de terceros que incluye MoPub, tendrás que actualizarla a una versión que incluya MoPub 4.4.0 o una versión posterior.

La vulnerabilidad se debe a problemas en la configuración predeterminada de WebView. Un atacante podría aprovechar esta vulnerabilidad y publicar un código JavaScript malicioso en la creatividad de un anuncio, lo que posibilitaría la interferencia en los recursos locales privados de los dispositivos. En dispositivos Android con versiones anteriores de API 16, el atacante incluso podría acceder a los recursos locales. Si tienes alguna consulta sobre cuestiones técnicas, publica un comentario en Stack Overflow y usa la etiqueta "android-security".

Si estás creando una app con Jcenter AAR y quieres confirmar el número de versión, comprueba la configuración de Gradle y asegúrate que sea la versión 4.4.0. Si estás creando una app directamente desde la fuente o sin usar Gradle y deseas confirmar el número de versión, ingresa a com.mopub.common.MoPub.java para SDK_VERSION.

Si bien es posible que estos problemas específicos no afecten a todas las apps que usan MoPub, se recomienda mantener todos los parches de seguridad actualizados. Es posible que aquellas apps con vulnerabilidades que comprometan la seguridad de los usuarios se consideren en incumplimiento con nuestra Política de comportamiento malicioso y el artículo 4.4 del Acuerdo de distribución para programadores.

Las apps también deben cumplir con el Acuerdo de distribución para programadores y las Políticas del programa para programadores. Si consideras que enviamos esta advertencia por error, comunícate con el equipo de asistencia de políticas por medio del Centro de ayuda para programadores de Google Play.