Les informations suivantes sont destinées aux développeurs d'applications qui utilisent une version non sécurisée du SDK Supersonic, une plate-forme publicitaire.
Les failles présentes dans les versions du SDK Supersonic antérieures à la version 6.3.5 compromettent la sécurité de certaines fonctionnalités par l'intermédiaire de JavaScript. Les fichiers JavaScript étant téléchargés par protocole HTTP, ils sont exposés aux attaques de type "homme du milieu". Les pirates informatiques peuvent profiter de cette faille pour supprimer les fichiers d'un téléphone et obtenir des informations comme les données de géolocalisation, les applications installées, etc. Les versions les plus récentes du SDK ne présentent pas ce problème.
Que se passe-t-il ?
Depuis le 26 janvier 2017, la publication sur Google Play de nouvelles applications ou de mises à jour d'applications qui utilisent des versions de Supersonic antérieures à la version 6.3.5 est bloquée. Veuillez consulter la notification dans la console Play. Passé les délais indiqués dans la console Play, toutes les applications présentant des failles de sécurité non résolues pourront être supprimées de Google Play.
Action requise
- Connectez-vous à la console Play et accédez à la section "Alertes" pour savoir quelles sont les applications concernées et connaître les délais à respecter pour résoudre ces problèmes.
- Mettez à jour votre application afin d'utiliser la version la plus récente du SDK Supersonic.
- Envoyez les versions mises à jour des applications concernées.
Votre application sera à nouveau examinée. Le processus peut durer plusieurs heures. Si votre application est approuvée et publiée, aucune autre action de votre part n'est requise. Si l'application n'est pas approuvée, sa nouvelle version ne sera pas publiée et vous recevrez une notification par e-mail.
Sachez que les applications doivent également respecter le Contrat relatif à la distribution (pour les développeurs) et le Règlement relatif au contenu.
Nous sommes là pour vous aider
Si vous avez des questions techniques sur cette faille, vous pouvez publier un message sur le site Stack Overflow en utilisant le tag "android-security". Si vous souhaitez obtenir des éclaircissements sur les étapes à suivre pour résoudre ce problème, vous pouvez contacter notre équipe d'assistance pour les développeurs.