Te informacje są przeznaczone dla deweloperów, którzy otrzymali wiadomość dotyczącą aplikacji korzystających z wersji GnuTLS (jest to biblioteka komunikacyjna z implementacją protokołów SSL, TLS i DTLS) zawierającej lukę w zabezpieczeniach. Te aplikacje naruszają postanowienia naszej Polityki treści dotyczące produktów niebezpiecznych oraz punktu 4.4 Umowy dystrybucyjnej dla deweloperów.
Jak najszybciej uaktualnij swoje aplikacje i zwiększ numer wersji uaktualnionego pliku APK. Aplikacje i aktualizacje aplikacji zawierające lukę w zabezpieczeniach GnuTLS nie będą akceptowane w Google Play. Jeśli używasz biblioteki zewnętrznej, która obejmuje GnuTLS, powiadom jej autorów i współpracuj z nimi, by rozwiązać ten problem.
O co chodzi?
Zapoznaj się z powiadomieniem w Konsoli Play. Po przekroczeniu terminów wskazanych w Konsoli Play wszystkie aplikacje z lukami w zabezpieczeniach mogą zostać usunięte z Google Play.
Wymagane działania
- Zaloguj się w Konsoli Play i przejdź do sekcji Alerty, by sprawdzić, których aplikacji dotyczy problem i jaki jest termin jego rozwiązania.
- Zaktualizuj te aplikacje i usuń lukę w zabezpieczeniach.
- Prześlij zaktualizowane wersje tych aplikacji.
Po ponownym przesłaniu aplikacja zostanie jeszcze raz sprawdzona. Ten proces może potrwać kilka godzin. Jeśli aplikacja pomyślnie przejdzie weryfikację i zostanie opublikowana, nie musisz już nic robić. Jeśli wynik weryfikacji nie będzie pomyślny, nowa wersja aplikacji nie zostanie opublikowana, a Ty otrzymasz powiadomienie e-mailem.
Dodatkowe szczegóły
Lukę usunięto w wersjach GnuTLS 3.1.25, 3.2.15 i 3.3.4. Najnowszą wersję GnuTLS możesz pobrać ze strony GnuTLS. Informacje o przeprowadzaniu uaktualnienia znajdziesz w dokumentacji GnuTLS.
Błąd w sposobie analizowania identyfikatorów sesji przez tę wersję GnuTLS umożliwia hakerowi wywołanie przepełnienia bufora i zdalne przejęcie kontroli nad Twoją aplikacją. Więcej informacji o tej luce znajdziesz na stronie https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466. Inne pytania techniczne możesz zadawać na stronie Stack Overflow. Pamiętaj, by użyć tagów „android-security” i „GnuTLS”.
Uwaga: te problemy nie muszą pojawić się w każdej aplikacji używającej GnuTLS w wersji starszej niż 3.1.25, 3.2.15, i 3.3.4, ale najlepiej jest na bieżąco wprowadzać wszelkie poprawki zabezpieczeń. Warto poświęcić chwilę na zaktualizowanie aplikacji, które korzystają z nieaktualnych bibliotek zależnych lub mają inne luki w zabezpieczeniach.
Przed opublikowaniem swoich aplikacji upewnij się, że są one zgodne z Umową dystrybucyjną dla deweloperów i Polityką treści.
Chętnie Ci pomożemy
Jeśli masz pytania techniczne związane z tą luką w zabezpieczeniach, możesz je opublikować na Stack Overflow, używając tagu „android-security”. Jeśli potrzebujesz wyjaśnienia czynności potrzebnych do rozwiązania tego problemu, skontaktuj się z naszym zespołem pomocy dla deweloperów.