Estas informações são destinadas aos desenvolvedores de apps que usam uma versão não segura do SDK do Supersonic, uma plataforma de anúncios.
A vulnerabilidade nas versões anteriores à 6.3.5 do SDK do Supersonic expõe uma série de funções por meio do JavaScript. Como o download dos arquivos JavaScript é feito por meio de HTTP, eles são vulneráveis a ataques de interceptação de dados (conhecidos como "man-in-the-middle"). Com isso, um invasor pode excluir arquivos do smartphone e extrair informações como a geolocalização, os apps instalados etc. Esses problemas foram corrigidos em versões mais recentes do SDK.
O que está acontecendo
Em 26 de janeiro de 2017, o Google Play passou a bloquear a publicação de novos apps ou atualizações com versões anteriores à 6.3.5 do Supersonic. Consulte o aviso no Play Console. Após os prazos exibidos no Play Console, todos os apps com vulnerabilidades de segurança não corrigidas poderão ser removidos do Google Play.
Ação necessária
- Faça login no Play Console e acesse a seção "Alertas" para ver os apps afetados e os prazos para resolver os problemas.
- Atualize os apps para usar a versão mais recente (página em inglês) do SDK do Supersonic.
- Envie as versões atualizadas dos apps afetados.
Após o reenvio, seu app será revisado novamente. Esse processo pode levar várias horas. Se o app for aprovado na revisão e publicado, nenhuma outra ação será necessária. Se ele for reprovado, a nova versão não será publicada, e você receberá uma notificação por e-mail.
Os apps também precisam estar de acordo com o Contrato de distribuição do desenvolvedor e a Política de conteúdo.
Estamos aqui para ajudar
Se você tiver dúvidas técnicas sobre a vulnerabilidade, escreva uma postagem no Stack Overflow e use a tag "android-security". Caso precise de mais informações sobre as etapas necessárias para resolver esse problema, entre em contato com nossa equipe de suporte ao desenvolvedor.