Como corrigir apps com vulnerabilidades do SDK do Vpon

Estas informações são destinadas aos desenvolvedores de apps que usam as versões do SDK do Vpon (página em inglês), uma plataforma de anúncios, anteriores à v4.5.1. Os apps com vulnerabilidades como esta expõem os usuários a risco de comprometimento e podem ser considerados produtos que violam nossa política de Comportamento malicioso.

Faça a migração dos seus apps para o Vpon v4.5.1 ou superior o quanto antes e aumente o número da versão do APK atualizado. A partir de 17 de setembro de 2016, o Google Play bloqueará a publicação de novos apps ou de atualizações que usarem versões do SDK do Vpon anteriores à 4.5.1. Isso não afeta a versão publicada do app, mas as atualizações dele serão bloqueadas a menos que você corrija essa vulnerabilidade.

Próximas etapas

  1. Faça o download da versão mais recente no website do Vpon (em inglês).
  2. Entre em contato com bd@vpon.com se precisar de ajuda com o upgrade.
  3. Faça login no Developer Console e envie a versão atualizada do app.
  4. Volte depois de cinco horas. Você verá uma mensagem de aviso se o app não tiver sido atualizado corretamente. É comum que ocorram alguns atrasos no processamento, mesmo se a vulnerabilidade do app tiver sido corrigida.

Se você usar uma biblioteca de terceiros que inclui o Vpon, será preciso fazer upgrade para uma versão que inclua o Vpon 4.5.1 ou superior. 

A vulnerabilidade ocorre devido a configurações permissivas do WebView que não chamam explicitamente setAllowFileAccess(false) em versões antigas do Android. Os invasores podem explorar essa vulnerabilidade veiculando um código JavaScript malicioso em um criativo de publicidade, o que possibilita o acesso a recursos locais dos dispositivos.

Para outras dúvidas técnicas, poste no Stack Overflow (página em inglês) e use a tag "android-security". Não poste perguntas sobre a política do Google Play no Stack Overflow.

Ainda que esses problemas específicos não afetem todos os apps que usam o SDK do Vpon, recomendamos manter todos os patches de segurança atualizados. Os apps também precisam estar de acordo com o Contrato de distribuição do desenvolvedor e com a política de conteúdo. Caso você acredite que tenha recebido este aviso por engano, entre em contato com nossa equipe de suporte a políticas por meio da Central de Ajuda do Google Play Developer Console (não disponível em português).

Isso foi útil?
Como podemos melhorá-lo?