Supersonic SDK 취약성 해결방법

이 정보는 광고 플랫폼인 Supersonic SDK의 안전하지 않은 버전을 사용 중인 앱의 개발자를 대상으로 합니다. 

Supersonic SDK 6.3.5 이전 버전의 취약점 때문에 자바스크립트를 통해 여러 기능이 노출됩니다. 자바스크립트 파일은 HTTP를 통해 다운로드되므로 중간자 공격에 취약합니다. 이를 이용하여 공격자는 휴대전화에서 파일을 삭제하고 위치정보나 설치된 앱과 같은 정보를 얻을 수 있습니다. 최신 SDK 버전에서는 이 문제가 수정되었습니다.

현재 상태

2017년 1월 26일부터 Google Play에서는 Supersonic 6.3.5 이전 버전을 사용하는 새로운 앱과 업데이트의 게시를 차단했습니다. Play Console의 공지를 참조하세요. Play Console에 표시된 기한이 지난 후에도 보안 취약점이 수정되지 않은 앱은 모두 Google Play에서 삭제될 수 있습니다.

필요한 조치​

  1. Play Console에 로그인한 후 알림 섹션으로 이동하여 영향을 받는 앱과 문제 해결 기한을 확인합니다.
  2. 앱이 최신 버전의 Supersonic SDK를 사용하도록 업데이트합니다.
  3. 영향을 받는 앱의 업데이트된 버전을 제출합니다.

다시 제출하면 앱은 다시 검토 절차를 거치게 되며 이 절차는 몇 시간 정도 걸릴 수 있습니다. 앱이 검토 과정을 통과하고 게시가 완료되면 더 이상의 조치가 필요하지 않습니다. 앱이 검토 과정을 통과하지 못할 경우 새로운 앱 버전은 게시되지 않으며 이메일 알림을 받게 됩니다.

또한 앱은 개발자 배포 계약콘텐츠 정책을 준수해야 합니다.

도움이 필요하신가요?

취약점에 관한 기술적인 문의사항이 있다면 'android-security' 태그를 사용하여 Stack Overflow에 게시해 주시기 바랍니다. 문제 해결 절차에 관해 궁금하신 점이 있으면 Google 개발자 지원팀에 문의하세요.

도움이 되었나요?
어떻게 하면 개선할 수 있을까요?