Thông tin này dành cho nhà phát triển các ứng dụng đang sử dụng phiên bản không an toàn của SDK Supersonic, một nền tảng quảng cáo.
Lỗ hổng trong phiên bản trước 6.3.5 của SDK Supersonic công khai một số chức năng qua Javascript. Vì các tệp Javascript được tải xuống qua HTTP, chúng dễ bị tấn công trung gian. Lợi dụng điều này, kẻ tấn công có thể xóa tệp khỏi điện thoại và lấy thông tin như vị trí địa lý, ứng dụng đã cài đặt, v.v. Vấn đề này đã được khắc phục trong các phiên bản mới hơn của SDK.
Chuyện gì sẽ xảy ra
Kể từ ngày 26 tháng 1 năm 2017, Google Play đã bắt đầu chặn xuất bản mọi ứng dụng hoặc bản cập nhật mới sử dụng phiên bản trước 6.3.5 của Supersonic. Vui lòng tham khảo thông báo trên Play Console của bạn.Sau thời hạn hiển thị trong Play Console, chúng tôi có thể xóa mọi ứng dụng có lỗ hổng bảo mật chưa được khắc phục khỏi Google Play.
Hành động cần thiết
- Đăng nhập vào Play Console và chuyển đến phần Cảnh báo để xem những ứng dụng bị ảnh hưởng và thời hạn giải quyết những vấn đề này.
- Cập nhật ứng dụng của bạn để sử dụng phiên bản mới nhất của SDK Supersonic.
- Gửi phiên bản cập nhật của các ứng dụng bị ảnh hưởng.
Sau khi bạn gửi lại, chúng tôi sẽ xem xét lại ứng dụng của bạn. Quá trình này có thể mất vài giờ. Nếu ứng dụng vượt qua quy trình xem xét và được xuất bản thành công thì bạn không cần thực hiện thêm hành động nào. Nếu ứng dụng không vượt qua được quy trình xem xét thì phiên bản ứng dụng mới sẽ không được xuất bản và bạn sẽ nhận được thông báo qua email.
Ứng dụng cũng phải tuân thủ Thỏa thuận phân phối dành cho nhà phát triển và Chính sách nội dung.
Chúng tôi sẵn sàng trợ giúp
Nếu có câu hỏi kỹ thuật về lỗ hổng bảo mật, bạn có thể đăng lên Stack Overflow và sử dụng thẻ “android-security”. Để biết rõ các bước cần thực hiện nhằm giải quyết vấn đề này, bạn có thể liên hệ với nhóm hỗ trợ nhà phát triển của chúng tôi.