Estas informações são destinadas aos desenvolvedores que receberam uma mensagem por terem apps que usam uma versão do GnuTLS, uma biblioteca de comunicações que implementa protocolos SSL, TLS e DTLS, com uma vulnerabilidade de segurança. Esses apps violam a cláusula sobre Produtos perigosos da Política de conteúdo e a seção 4.4 do Contrato de distribuição do desenvolvedor.
Faça o upgrade dos seus apps assim que possível e aumente o número da versão do APK atualizado. Apps e atualizações que apresentem a vulnerabilidade do GnuTLS não serão aceitos pelo Google Play. Caso você use uma biblioteca de terceiros que inclua o GnuTLS, informe-os sobre o problema e trabalhe com eles para encontrar soluções.
O que está acontecendo
Consulte o aviso no Play Console. Após os prazos exibidos no Play Console, todos os apps com vulnerabilidades de segurança não corrigidas poderão ser removidos do Google Play.
Ação necessária
- Faça login no Play Console e acesse a seção "Alertas" para ver os apps afetados e os prazos para resolver os problemas.
- Atualize esses apps e corrija a vulnerabilidade.
- Envie as versões atualizadas dos apps afetados.
Após o reenvio, seu app será revisado novamente. Esse processo pode levar várias horas. Se o app for aprovado na revisão e publicado, nenhuma outra ação será necessária. Se ele for reprovado, a nova versão não será publicada, e você receberá uma notificação por e-mail.
Detalhes adicionais
A vulnerabilidade foi corrigida no GnuTLS 3.1.25, GnuTLS 3.2.15 e GnuTLS 3.3.4. Faça o download das versões mais recentes do GnuTLS neste site. Caso precise de ajuda ao fazer o upgrade, consulte a documentação de suporte do GnuTLS.
Devido a uma falha em como sua versão do GnuTLS analisa os códigos de sessão, um invasor poderia causar um estouro de buffer e controlar seu app remotamente. Para saber mais sobre a vulnerabilidade, consulte https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466. Para outras perguntas técnicas, poste uma mensagem no Stack Overflow e use as tags "android-security" e "GnuTLS".
Observação: mesmo que esses problemas específicos não afetem todos os apps que usam o GnuTLS nas versões anteriores à 3.1.25, 3.2.15 e 3.3.4, é recomendável manter todos os patches de segurança atualizados. Atualize seus apps que têm bibliotecas dependentes e desatualizadas ou com outras vulnerabilidades.
Antes de publicar apps, verifique se eles estão em conformidade com o Contrato de distribuição do desenvolvedor e a Política de conteúdo.
Estamos aqui para ajudar
Se você tiver dúvidas técnicas sobre a vulnerabilidade, escreva uma postagem no Stack Overflow e use a tag "android-security". Caso precise de mais informações sobre as etapas necessárias para resolver esse problema, entre em contato com nossa equipe de suporte ao desenvolvedor.