Estas informações são destinadas aos desenvolvedores de apps que usam as versões do SDK do Vpon (página em inglês), uma plataforma de anúncios, anteriores à v4.5.1. Os apps com vulnerabilidades como esta expõem os usuários a risco de comprometimento e podem ser considerados produtos que violam nossa política de Comportamento malicioso.
Faça a migração dos seus apps para o Vpon v4.5.1 ou superior o quanto antes e aumente o número da versão do APK atualizado. A partir de 17 de setembro de 2016, o Google Play bloqueará a publicação de novos apps ou de atualizações que usarem versões do SDK do Vpon anteriores à 4.5.1. Isso não afeta a versão publicada do app, mas as atualizações dele serão bloqueadas a menos que você corrija essa vulnerabilidade.
Próximas etapas
- Faça o download da versão mais recente no website do Vpon (em inglês).
- Entre em contato com bd@vpon.com se precisar de ajuda com o upgrade.
- Faça login no Developer Console e envie a versão atualizada do app.
- Volte depois de cinco horas. Você verá uma mensagem de aviso se o app não tiver sido atualizado corretamente. É comum que ocorram alguns atrasos no processamento, mesmo se a vulnerabilidade do app tiver sido corrigida.
Se você usar uma biblioteca de terceiros que inclui o Vpon, será preciso fazer upgrade para uma versão que inclua o Vpon 4.5.1 ou superior.
A vulnerabilidade ocorre devido a configurações permissivas do WebView que não chamam explicitamente setAllowFileAccess(false) em versões antigas do Android. Os invasores podem explorar essa vulnerabilidade veiculando um código JavaScript malicioso em um criativo de publicidade, o que possibilita o acesso a recursos locais dos dispositivos.
Para outras dúvidas técnicas, poste no Stack Overflow (página em inglês) e use a tag "android-security". Não poste perguntas sobre a política do Google Play no Stack Overflow.
Ainda que esses problemas específicos não afetem todos os apps que usam o SDK do Vpon, recomendamos manter todos os patches de segurança atualizados. Os apps também precisam estar de acordo com o Contrato de distribuição do desenvolvedor e com a política de conteúdo. Caso você acredite que tenha recebido este aviso por engano, entre em contato com nossa equipe de suporte a políticas por meio da Central de Ajuda do Google Play Developer Console (não disponível em português).