Denne informasjonen gjelder for utviklere som har fått en melding fordi de har én eller flere apper med en versjon av GnuTLS (et kommunikasjonsbibliotek som implenterer SSL-, TLS- og DTLS-protokoller) som inneholder en sikkerhetssvakhet. Disse appene bryter med bestemmelsen for farlige produkter i retningslinjene for innhold samt del 4.4 av distribusjonsavtalen for utviklere.
Oppgrader appene dine så snart som mulig, og øk versjonsnummeret til den oppgraderte APK-en. Apper og appoppdateringer som inneholder GnuTLS-svakheten, aksepteres ikke av Google Play. Hvis du bruker et bibliotek fra en tredjepart som inneholder GnuTLS, må du gjøre tredjeparten oppmerksom på problemet, og dere må finne en løsning sammen.
Hva skjer?
Les varselet i Play-konsollen. Alle apper som inneholder uløste sikkerhetssvakheter, kan bli fjernet fra Google Play etter tidsfristene som vises i Play-konsollen din.
Dette må du gjøre
- Logg på Play-konsollen og gå til Varsler-delen for å se hvilke apper som er berørt, samt tidsfristene for å løse disse problemene.
- Oppdater de berørte appene og løs sikkerhetssvakheten.
- Send inn de oppdaterte versjonene av de berørte appene.
Hvis du sender apper inn igjen, blir de vurdert på nytt. Denne prosessen kan ta flere timer. Hvis gjennomgangen er vellykket og appene publiseres som de skal, trenger du ikke å iverksette ytterligere tiltak. Hvis gjennomgangen mislykkes, publiseres ikke de nye appversjonene, og du mottar et e-postvarsel.
Flere detaljer
Svakheten er rettet opp i GnuTLS 3.1.25, GnuTLS 3.2.15 og GnuTLS 3.3.4. De nyeste versjonene av GnuTLS kan lastes ned fra GnuTLS-nettstedet. For å få hjelp med å oppgradere, se støttedokumentasjonen for GnuTLS.
På grunn av en feil i måten GnuTLS-versjonen din parser økt-ID-er på, kan angripere kanskje utløse bufferoverløp og fjernstyre appen din. For mer informasjon om svakheten kan du gå til https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466. Hvis du har andre tekniske spørsmål, kan du stille dem på Stack Overflow og bruke etikettene «android-security» og «GnuTLS».
Merk: Selv om disse problemene kanskje ikke påvirker alle apper som bruker eldre versjoner av GnuTLS enn 3.1.25, 3.2.15 og 3.3.4, er det lurt å holde seg oppdatert på alle patcher (feilrettinger). Vi anbefaler at du oppdaterer apper som har utdaterte underordnede biblioteker eller andre sikkerhetsproblemer.
Før du publiserer apper, må du sørge for at de overholder distribusjonsavtalen for utviklere og retningslinjene for innhold.
Vi hjelper deg gjerne
Hvis du har tekniske spørsmål om sikkerhetsproblemet, kan du skrive et innlegg på Stack Overflow og bruke etiketten «android-security». Hvis du vil ha mer informasjon om hva du må gjøre for å løse dette problemet, kan du kontakte brukerstøtteteamet for utviklere.