この情報は、Vpon SDK 広告プラットフォームの v4.5.1 より前のバージョンを使用しているアプリのデベロッパーの方を対象としています。このような脆弱性を含むアプリは、ユーザーのセキュリティを侵害するおそれがあり、悪意のある行為に関するポリシーへの違反と判断される場合があります。
できる限り早急にアプリを Vpon v4.5.1 以降のバージョンに移行し、アップグレード後の APK のバージョン番号を増分するようお願いいたします。 2016 年 9 月 17 日以降、Google Play では、バージョン 4.5.1 より前の Vpon SDK を使用するすべての新規アプリおよびアップデートの公開がブロックされます。公開済みのアプリのバージョンは影響を受けませんが、この脆弱性に対応しない限り、アプリのアップデートはブロックされます。
次の手順
- Vpon のウェブサイトから Vpon の最新バージョンをダウンロードします。
- アップグレードについてサポートが必要な場合は、bd@vpon.com にお問い合わせください。
- Developer Console にログインし、アプリの更新版を送信します。
- 5 時間後にもう一度確認してください。アプリが正しく更新されていない場合は、警告メッセージが表示されます。アプリの脆弱性を修正していても、一部の処理に遅れが発生することはよくあります。
Vpon をバンドルするサードパーティのライブラリを使用している場合、Vpon 4.5.1 以降をバンドルするバージョンにアップグレードする必要があります。
この脆弱性の原因は、Android の以前のバージョンでは setAllowFileAccess(false) を明示的に呼び出さない、制限の緩い WebView 設定です。攻撃者がこの脆弱性を悪用して、悪意のある JavaScript コードを広告クリエイティブで配信し、端末のローカル リソースにアクセスできるようにするおそれがあります。
その他の技術的な不明点については、Stack Overflow にタグ「android-security」を使用してご投稿ください。Play ポリシーに関する質問は Stack Overflow に投稿しないでください。
この問題が Vpon SDK を使用するすべてのアプリに必ずしも影響するわけではありませんが、常に最新のセキュリティ パッチをすべて適用することをおすすめします。アプリはデベロッパー販売 / 配布契約とコンテンツ ポリシーに準拠している必要があります。今回の脆弱性に関する通知が誤りであると思われる場合は、Google Play デベロッパー ヘルプセンターからサポートチームにご連絡ください。