Como corrigir a vulnerabilidade do SDK do Supersonic

Estas informações são destinadas aos desenvolvedores de apps que usam uma versão não segura do SDK do Supersonic, uma plataforma de anúncios. 

A vulnerabilidade nas versões anteriores à 6.3.5 do SDK do Supersonic expõe uma série de funções por meio do JavaScript. Como o download dos arquivos JavaScript é feito por meio de HTTP, eles são vulneráveis a ataques de interceptação de dados (conhecidos como "man-in-the-middle"). Com isso, um invasor pode excluir arquivos do smartphone e extrair informações como a geolocalização, os apps instalados etc. Esses problemas foram corrigidos em versões mais recentes do SDK.

O que está acontecendo

Em 26 de janeiro de 2017, o Google Play passou a bloquear a publicação de novos apps ou atualizações com versões anteriores à 6.3.5 do Supersonic. Consulte o aviso no Play Console. Após os prazos exibidos no Play Console, todos os apps com vulnerabilidades de segurança não corrigidas poderão ser removidos do Google Play.

Ação necessária​

  1. Faça login no Play Console e acesse a seção "Alertas" para ver os apps afetados e os prazos para resolver os problemas.
  2. Atualize os apps para usar a versão mais recente (página em inglês) do SDK do Supersonic.
  3. Envie as versões atualizadas dos apps afetados.

Após o reenvio, seu app será revisado novamente. Esse processo pode levar várias horas. Se o app for aprovado na revisão e publicado, nenhuma outra ação será necessária. Se ele for reprovado, a nova versão não será publicada, e você receberá uma notificação por e-mail.

Os apps também precisam estar de acordo com o Contrato de distribuição do desenvolvedor e a Política de conteúdo.

Estamos aqui para ajudar

Se você tiver dúvidas técnicas sobre a vulnerabilidade, escreva uma postagem no Stack Overflow e use a tag "android-security". Caso precise de mais informações sobre as etapas necessárias para resolver esse problema, entre em contato com nossa equipe de suporte ao desenvolvedor.

Isso foi útil?
Como podemos melhorá-lo?