Cómo reparar apps con vulnerabilidades de Vpon SDK

Esta información está dirigida a los programadores de apps que usen cualquier versión de la plataforma de anuncios Vpon SDK anterior a la versión 4.5.1. Es posible que las apps con este tipo de vulnerabilidades que comprometan la seguridad de los usuarios se consideren en incumplimiento de nuestra Política de comportamiento malicioso.

Migra tus apps a la versión 4.5.1 de Vpon (o versiones posteriores) lo antes posible e incrementa el número de versión del APK actualizado. A partir del 17 de septiembre de 2016, Google Play bloqueará la publicación de cualquier actualización o app nueva que use versiones de Vpon SDK anteriores a 4.5.1. La versión publicada de tu app no se verá afectada, pero se bloquearán las actualizaciones que realices, a menos que soluciones esta vulnerabilidad.

Sigue estos pasos:

  1. Descarga la versión más reciente de Vpon del sitio web de Vpon.
  2. Si necesitas ayuda con la actualización, comunícate con bd@vpon.com.
  3. Accede a Developer Console y envía la versión actualizada de tu app.
  4. Regresa después de cinco horas. Si la app no se actualizó correctamente, aparecerá un mensaje de advertencia. Ten en cuenta que el proceso podría demorarse, incluso si reparaste el error de vulnerabilidad de tu app.

Si usas una biblioteca de terceros que incluye Vpon, tendrás que actualizarla a una versión que incluya Vpon 4.5.1 o una versión posterior. 

La vulnerabilidad se debe a una configuración de WebView permisiva que no establece setAllowFileAccess(false) de manera explícita en versiones anteriores de Android. Un atacante podría aprovechar esta vulnerabilidad y publicar un código JavaScript malicioso en la creatividad de un anuncio, lo que posibilita el acceso a los recursos locales en los dispositivos.

Si tienes alguna consulta sobre cuestiones técnicas, publica un comentario en Stack Overflow y usa la etiqueta "android-security". Ten en cuenta que no debes publicar preguntas sobre las políticas de Play en este sitio.

Si bien es posible que estos problemas específicos no afecten a todas las apps que usan Vpon SDK, se recomienda mantener todos los parches de seguridad actualizados. Las apps también deben cumplir con el Acuerdo de distribución para programadores y la Política de contenido. Si consideras que enviamos esta advertencia por error, comunícate con el equipo de asistencia de políticas por medio del Centro de ayuda para programadores de Google Play.