מידע זה מיועד למפתחים שקיבלו הודעה מפני שיש להם אפליקציות שמשתמשות בגרסה של GnuTLS (ספריית פעילויות תקשורת שמשתמשת בפרוטוקולי SSL, TLS ו-DTLS) שמכילה נקודת תורפה. אפליקציות אלה מפרות את תנאי המוצרים המסוכנים במדיניות התוכן, ואת סעיף 4.4 בהסכם ההפצה למפתחים.
יש לשדרג את האפליקציות בהקדם האפשרי ולהגדיל את מספר הגרסה של ה-APK המשודרג. אפליקציות ועדכוני אפליקציות המכילים נקודת תורפה ב-GnuTLS לא יתקבלו על ידי Google Play. אם אתם משתמשים בספרייה של צד שלישי הכוללת את GnuTLS, יש ליידע את הצד השלישי ולשתף איתו פעולה כדי לטפל בבעיה.
מה הלאה?
יש לעיין בהודעה שב-Play Console.לאחר המועדים האחרונים לתיקון שמוצגים ב-Play Console, אפליקציות שיכילו נקודות תורפה שלא תוקנו יוסרו מ-Google Play.
הפעולה הנדרשת
- נכנסים לחשבון Play Console, ועוברים לקטע ההתראות כדי לבדוק אילו אפליקציות מושפעות מהבעיות ומהם המועדים האחרונים לתיקון.
- מעדכנים את האפליקציות המושפעות ומתקנים את פרצת האבטחה.
- שולחים את הגרסאות המעודכנות של האפליקציות המושפעות.
לאחר השליחה החוזרת, האפליקציה שלכם תיבדק שוב. תהליך זה עשוי להימשך כמה שעות. אם האפליקציה עוברת את הבדיקה ומתפרסמת בהצלחה, לא יהיה צורך בפעולה נוספת. אם האפליקציה תיכשל בבדיקה, גרסת האפליקציה החדשה לא תתפרסם ותקבלו התראה באימייל.
פרטים נוספים
פרצת האבטחה טופלה ב-GnuTLS 3.1.25, GnuTLS 3.2.15 ו-GnuTLS 3.3.4. ניתן להוריד את הגרסאות העדכניות ביותר של GnuTLS מהאתר של GnuTLS. לקבלת עזרה בשדרוג, ניתן לעיין בתיעוד התמיכה של GnuTLS.
כתוצאה מפגם באופן שבו הגרסה של GnuTLS מנתחת מזהי הפעלה, תוקף עלול לגרום להצפת מאגר הנתונים הזמני ולשלוט מרחוק באפליקציה. לקבלת מידע נוסף על הפגיעוּת הזו, יש להיכנס אל https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466. לשאלות טכניות אחרות, יש לפרסם פוסט בדף Stack Overflow ולהשתמש בתגים “android-security” ו-“GnuTLS.”
הערה: אף על פי שייתכן שבעיות אלה לא משפיעות על כל אפליקציה שמשתמשת בגרסאות GnuTLS הקודמות ל-3.1.25, 3.2.15 ו-3.3.4, מומלץ להיות מעודכנים בכל תיקוני האבטחה. אנחנו מבקשים שתקדישו את הזמן הנחוץ לעדכון אפליקציות המכילות ספריות תלויות שאינן מעודכנות או פרצות אבטחה אחרות.
לפני פרסום האפליקציות, יש לוודא שהן תואמות להסכם ההפצה למפיצים ולמדיניות התוכן.
אנחנו כאן כדי לעזור
אם יש לכם שאלות טכניות בנוגע לפגיעוּת זו, ניתן לפרסם פוסט באתר Stack Overflow ולהשתמש בתג “android-security”. משהו לא ברור בשלבים לפתרון הבעיה? ניתן לפנות אל צוות התמיכה שלנו למפתחים.