Android SDK 3.3.0 之前的安全性漏洞

我们近来有些用我们较老版本的Android SDK的开发者有一些关于有效载荷插入漏洞(payload injection vunlerability)的问题 。这个漏洞在今年一月的时候已经修复,Google现在开始会给没有更新Vungle Android SDK最新版本的用户一些警告。 一下是一些我们开发者开到的警告信息:

“Your application utilizes a version of the Vungle ad library containing a security vulnerability. The vulnerability can enable attackers to launch a successful man-in-the-middle attack against user devices by proxying network traffic and injecting a payload extracted by the Vungle app.“

这些漏洞在Vungle v3.3.0 及以上已经修复,请更新到Vungle v.3.3.0及以上来修复这个问题。你可以通过在你的代码库grep搜索“VungleDroid/”来检查你的Vungle的版本。要查看更多介绍这个漏洞的相关信息,请看:

https://gist.github.com/Fuzion24/6535f8b9dc2a51745173.

最新版本的SDK可以从这里下载:

Vungle Dashboard. 这里是Android SDK 开发指南。  其他的相关问题,也可查看这里 https://www.stackoverflow.com/questions.

来确定你升级是否正确,请在开发者控制面板更新SDK版本之后过五个小时检查。

请注意,尽管这些问题不会影响你的app,那些有漏洞的app会因为违反Content Policy和Developer Distribution Agreement section 4.4 被认定为危险的应用。

在发布应用之前,请确保你的应用符合Developer Distribution Agreement 和 Content Policy的规则。详细信息可以查看 Google Play Help Center。

再次强调, 这个警告是准确的 一些老版本被怀疑为中间人攻击的可能性,我们之前被 Fuzion24 警告过,在之后的SDK版本迅速修复了这个问题。所有使用我们新版本Android SDK的app是不会受这个影响的。

如果你不确定你所用版本的Vungle SDK是否受影响,可以输出SDK’s VERSION 相关日志 :

       Log.d("Vungle-SDK-Version", VunglePub.VERSION);

如果有任何问题,请联系 tech-support@vungle.com.   

 

还有其它问题?提交请求

评论