3.3.0 이전 안드로이드 SDK들의 보안 취약성

우리는 벙글의 안드로이드 SDK들 중 오래된 버전들에서 페이로드 인젝션에 대한 취약성에 대한 질문들을 받아왔습니다. 이 취약성들은 지난 1월에 이미 해결되었지만 구글은 벙글의 안드로이드 SDK를 업그레이드 하지 않은 앱의 소유자(소유사)들에게 경고를 하고 있습니다. 여기 우리의 퍼블리셔들이 받은 메세지가 있습니다 :

 

“당신의 어플리케이션은 보안 취약성을 포함한 벙글 광고 라이브러리를 이용하고 있습니다. 이 취약성은 공격자들이 유저의 기기들에 네트워크 트래픽을 접근 대행하고 벙글앱에서 추출된 페이로드를 주사 함으로써 성공적인 중간자 공격을 시작하게 할 수 있습니다.

이 취약성은 벙글 SDK 3.3.0에서 다루어졌었습니다. 벙글 SDK 3.3.0 또는 그 이상의 버전으로 업그레이드 하시기 바랍니다. 당신이 사용중인 벙글 SDK 버전을 확인하려면, grep 검색 “VungleDroid/” 하시기 바랍니다. 이 취약성에 대해 더 많은 정보를 원하시면 다음 링크를 참조하세요. https://gist.github.com/Fuzion24/6535f8b9dc2a51745173.

최신 벙글 안드로이드 SDK는 Vungle Dashboard 에서 다운 받으실 수 있습니다. 업그레이드 방법은 https://support.vungle.com/hc/en-us/articles/204222794-Get-started-with-Vungle-Android-SDK 에서 확인하실 수 있습니다. 다른 기술적인 질문들은  https://www.stackoverflow.com/questions 를 이용하세요.

업그레이드가 제대로 되었는지 확인하려면 Developer Console 에 업데이트된 버전을 올리시고 5시간 후에 확인하시면 됩니다.

이 이슈가 당신의 앱에 영향을 미치는지 불확실하다면, 사용자에게 위험을 노출시키는 취약성이 있는 어플리케이션이 개발자 배포 계약의 4.4 조항과 개발자 프로그램 정책의 콘텐츠 정책에 위반될 수 있음을 확인하십시요.

어플리케이션을 출시하기 전에, 개발자 배포 계약과 콘텐츠 정책을 따르고 있는지 확인하십시요. 만약 이 경고가 당신에게 잘못 보내졌다고 느낀다면 Google Play Help Centre article 를 방문하세요.”

다른 무엇보다도 이 경고는 정확합니다. 우리의 SDK중 중간자 공격에 민감한 일부 오래된 버전들은 기기 또는 데이터 네트워크를 위태롭게 합니다우리는 이 취약성을 Fuzion24으로부터 경고받았었고 해당 문제를 고친 새 안드로이드 SDK를 바로 출시했었습니다. 최신 벙글 안드로이드 SDK를 사용하는 앱은 보안 추약성에 영향을 받지 않습니다. 만약 당신이 위의 메세지들을 받았다면, 우리는(구글 역시) 당신이 지금 바로 업데이트 하기를 강력하게 제안합니다.

만약 당신이 사용중인 벙글 안드로이드 SDK가 이 취약성에 영향을 받는지 안받는지 모르겠다면, SDK의 버전 값을 알아내는 방법이 있습니다 :

       Log.d("Vungle-SDK-Version", VunglePub.VERSION);

 

3.3.0 이상의 안드로이드 버전은 영향을 받지 않지만, 이전 버전들은 Vungle Dashboard에서 최신 버전으로 업데이트 해야 합니다.

 

우리는 우리의 SDK들을 향상시키기 위해 항상 열심히 일하고 있습니다. 특히 유저와 앱의 보안에 관련된 것은 예외없이 특히 더 신경쓰고 있습니다. 이러한 보안 취약 문제나 당신의 앱에 설치된 벙글 SDK 업데이트에 필요한 과정들에 대한 질문이 있으시면 tech-support@vungle.com로 연락주십시요.

 

또 다른 질문이 있으십니까? 문의 등록

댓글