Cómo corregir la vulnerabilidad del SDK de Supersonic

Esta información está destinada a los desarrolladores de apps que usen una versión insegura del SDK de la plataforma de anuncios "Supersonic". 

La vulnerabilidad que poseen las versiones anteriores al SDK 6.3.5 de Supersonic expone una serie de funciones por medio de JavaScript. Como los archivos de JavaScript se descargan mediante HTTP, pueden sufrir ataques de intermediarios. De esta forma, un agresor podría borrar archivos del teléfono y obtener información, como la ubicación geográfica, las apps instaladas, etc. Estos problemas se corrigieron en las versiones más recientes del SDK.

Novedades

A partir del 26 de enero de 2017, Google Play comenzó a bloquear la publicación de las actualizaciones y apps nuevas que usan versiones anteriores a Supersonic 6.3.5. Consulta la notificación en tu cuenta de Play Console. Después de los plazos que aparecen en Play Console, es posible que se eliminen de Google Play todas las apps que contengan vulnerabilidades de seguridad no resueltas.

Acción necesaria​

  1. Accede a tu cuenta de Play Console y desplázate a la sección "Alertas" para ver qué apps están afectadas, así como los plazos para resolver los problemas.
  2. Actualiza tu app para poder usar la versión más reciente del SDK de Supersonic.
  3. Envía las versiones actualizadas de las apps afectadas.

Una vez que las hayas reenviado, revisaremos tu app nuevamente. Este proceso puede demorar varias horas. Si la app pasa la revisión y se publica sin problemas, no se requiere ninguna otra acción. Si la app no pasa la revisión, no se publicará la nueva versión, y recibirás una notificación por correo electrónico.

Ten en cuenta que las apps también deben cumplir con el Acuerdo de Distribución para Desarrolladores y la Política de Contenido.

Estamos aquí para ayudarte

Si tienes preguntas técnicas sobre la vulnerabilidad, publícalas en Stack Overflow con la etiqueta "android-security". Si tienes dudas sobre los pasos que debes seguir para resolver este problema, comunícate con nuestro equipo de asistencia para desarrolladores.