Vpon SDK 취약점이 있는 앱 수정 방법

4.5.1 이전 버전의 Vpod SDK 광고 플랫폼을 활용하는 앱의 개발자를 위한 정보입니다. 사용자를 보안 위험에 노출시키는 취약점이 있는 이러한 앱은 Google의 악의적 행위 정책을 위반하는 것으로 간주될 수 있습니다.

가능한 한 빨리 앱을 Vpon 버전 4.5.1 이상으로 이전하고 업그레이드된 APK 버전 번호를 높이시기 바랍니다. Google Play에서는 2016년 9월 17일부터 4.5.1 이전 버전의 Vpon SDK를 사용하는 새 앱이나 업데이트 게시를 차단할 예정입니다. 게시된 앱 버전은 영향을 받지 않지만 이 취약점을 해결하기 전까지는 모든 앱 업데이트가 차단됩니다.

다음 단계

  1. Vpon 웹사이트에서 최신 버전의 Vpon을 다운로드합니다.
  2. 업그레이드할 때 도움이 필요한 경우 bd@vpon.com에 문의하시기 바랍니다.
  3. Developer Console에 로그인하고 업데이트된 버전의 앱을 제출합니다.
  4. 5시간이 지난 뒤 다시 확인하세요. 앱이 제대로 업데이트되지 않은 경우 경고 메시지가 표시됩니다. 앱 취약점을 해결했다고 하더라도 처리 과정에서 지연이 발생하는 경우가 많다는 점에 유의하세요.

Vpon을 번들로 제공하는 타사 라이브러리를 사용 중인 경우 Vpon 4.5.1 이상을 번들로 제공하는 버전으로 업그레이드해야 합니다. 

이 취약점은 이전 버전의 Android에서 setAllowFileAccess(false)를 명시적으로 호출하지 않은 허용적 WebView 설정으로 인해 발생합니다. 공격자가 광고 소재에 악성 자바스크립트 코드를 게재하여 이 취약점을 이용함으로써 기기의 로컬 리소스에 액세스할 수 있습니다.

다른 기술 관련 질문이 있으면 Stack Overflow에 게시하되, 이때 'android-security' 태그를 추가하세요. Play 정책 관련 질문은 Stack Overflow에 게시해서는 안 된다는 점에 유의하세요.

이러한 문제가 Vpon SDK를 사용하는 모든 앱에 영향을 주는 것은 아니지만, 모든 보안 패치를 최신 상태로 유지하는 것이 가장 좋습니다. 또한 앱은 개발자 배포 계약콘텐츠 정책을 준수해야 합니다. Google에서 이 취약점 경고를 잘못 발송했다고 생각되면 Google Play 개발자 도움말 센터를 통해 Google 지원팀에 문의하시기 바랍니다.

도움이 되었나요?
어떻게 하면 개선할 수 있을까요?