Android SDK3.3.0 以前におけるセキュリティー上の脆弱性

今日、Vungle Android SDK の古いバージョンにおけるペイロードインジェクション脆弱性についていくつかの質問を受けました。この脆弱性は1月に解決されていますが、Google がVungle Android SDK をまだアップグレードしていないアプリケーション所有者に警告し始めています。以下がVungle パブリッシャー様が受け取ったメッセージの例です。

“Your application utilizes a version of the Vungle ad library containing a security vulnerability. The vulnerability can enable attackers to launch a successful man-in-the-middle attack against user devices by proxying network traffic and injecting a payload extracted by the Vungle app.

The vulnerability was addressed in Vungle v3.3.0. Please upgrade to Vungle v3.3.0 or higher as soon as possible. To check your Vungle version, you can do a grep search for “VungleDroid/”. For more information about the vulnerability, please see https://gist.github.com/Fuzion24/6535f8b9dc2a51745173.

The latest version of Vungle can be downloaded from the Vungle Dashboard. For help upgrading, see the Get Started with Vungle - Android SDK guide. For other technical questions, please use https://www.stackoverflow.com/questions.

To confirm that you've upgraded correctly, upload the updated version to the Developer Console and check back after five hours.

Please note, while it's unclear whether these specific issues affect your application, applications with vulnerabilities that expose users to risk of compromise may be considered dangerous production violation of the Content Policy and section 4.4 of the Developer Distribution Agreement.

Before publishing applications, please ensure your apps' compliance with the Developer Distribution Agreement and Content Policy. If you feel we have sent this warning in error, visit this Google Play Help Center article.”

この警告は正確なものですVungle SDK の古いバージョンのいくつかは、デバイスまたはデータネットワークが不正にアクセスされた場合、中間者攻撃を受ける可能性がありました。Vungle はこの脆弱性についてFuzion24 から通報を受け、修正を次のAndroid SDK で素早くリリースしました。ご利用可能な最新のVungle Android SDK にはこれに関しての脆弱性はございません。これらのメッセージが表示されている場合、Google と併せ、できるだけ早急にアップデートを行うことを強く推奨します

お使いのVungle Android SDK のバージョンがこの脆弱性に影響を受けているかどうか不明な場合、以下のSDK のバージョンプロパティを参照することで確認できます:

       Log.d("Vungle-SDK-Version", VunglePub.VERSION);

 

Android バージョン3.3.0以降には影響はありませんが、古いバージョンはVungle の最新バージョンにアップデートする必要があります。最新バージョンはVungle ダッシュボードで入手可能です。

 

Vungle は常にSDK の改善に努めています。Vungle ユーザーやアプリケーションのセキュリティに関しては特に改善に力を入れていおり、この脆弱性も例外ではありません。この脆弱性またはアプリケーションのVungle SDK アップデートについて具体的なご質問等は、 tech-support@vungle.comにお問い合わせください。

他にご質問がございましたら、リクエストを送信してください

コメント