この情報は、アプリで使用している広告プラットフォーム Supersonic SDK のバージョンに脆弱性が含まれているデベロッパーを対象としています。
バージョン 6.3.5 より前の Supersonic SDK に含まれるこの脆弱性は、JavaScript によって多数の関数が漏えいするというものです。JavaScript ファイルが HTTP 経由でダウンロードされる際に中間者攻撃を受け、スマートフォンからファイルが削除されたり、位置情報やインストールしているアプリなどの情報が盗まれたりする可能性があります。この問題は 6.3.5 以降のバージョンでは修正されています。
状況
2017 年の 1 月 26 日以降、Google Play ではバージョン 6.3.5 以前の Supersonic を使用するすべての新規アプリおよびアップデートの公開がブロックされるようになりました。詳しくは Play Console の通知をご覧ください。Play Console に表示されている期限を過ぎた後もセキュリティの脆弱性が修正されていないアプリは、Google Play から削除される場合があります。
必要な対応
- Play Console にログインし、[アラート] セクションで該当するアプリや問題の解決期限を確認します。
- Supersonic SDK の最新バージョンを使用するようアプリを更新します。
- 該当するアプリの更新バージョンを送信します。
再送信すると、アプリは再度審査されます。審査には数時間ほどかかることがあります。アプリが審査に合格して正常に公開された場合は、これ以上の対応は不要です。アプリが審査に不合格となった場合、アプリの更新バージョンは公開されず、メールで通知が届きます。
なお、アプリはデベロッパー販売 / 配布契約とコンテンツ ポリシーに準拠している必要があります。
サポートのご案内
脆弱性に関する技術的なご質問については、Stack Overflow にご投稿ください。その際、「android-security」タグをご利用ください。この問題を解決するための手順で不明な点がありましたら、デベロッパー サポートチームにお問い合わせください。