Com es poden corregir les aplicacions que contenen la vulnerabilitat de GnuTLS

Aquesta informació va dirigida als desenvolupadors que han rebut un missatge perquè tenen aplicacions que utilitzen una versió de GnuTLS (una biblioteca de comunicacions que implementa els protocols SSL, TLS i DTLS) que conté una vulnerabilitat de seguretat. Aquestes aplicacions incompleixen la directriu sobre productes perillosos de la política de continguts, així com la secció 4.4 de l'Acord de distribució per a desenvolupadors. 

Actualitza les aplicacions al més aviat possible i augmenta el número de versió de l’APK actualitzat.  Google Play no acceptarà les aplicacions ni les actualitzacions que continguin la vulnerabilitat de GnuTLS. Si utilitzes la biblioteca d'un tercer en què s'inclou GnuTLS, informa'n el seu equip i col·labora-hi per solucionar-ho.

Què passa

Consulta l'avís a Play Console. Després de les dates límit que es mostren a Play Console, és possible que les aplicacions que presentin vulnerabilitats de seguretat sense solucionar se suprimeixin de Google Play.

Acció necessària​

  1. Inicia la sessió a Play Console i navega per la secció Alertes per consultar quines aplicacions es veuen afectades i les dates límit per resoldre aquests problemes.
  2. Actualitza les aplicacions afectades i soluciona la vulnerabilitat.
  3. Envia les versions actualitzades de les aplicacions afectades.

Un cop hagis l'hagis tornat a enviar, tornarem a revisar la teva aplicació. Aquest procés pot tardar diverses hores. Si l'aplicació passa la revisió i es publica correctament, no cal dur a terme cap altra acció. Si l'aplicació no passa la revisió, no se'n publicarà la versió nova i rebràs una notificació per correu electrònic.

Detalls addicionals

La vulnerabilitat es va resoldre a les versions de GnuTLS 3.1.25, 3.2.15 i 3.3.4. Pots baixar les últimes versions de GnuTLS des del lloc web de GnuTLS.  Si necessites ajuda amb l'actualització, consulta la documentació d'assistència de GnuTLS.

A causa d'un error en la manera com la teva versió de GnuTLS analitza els identificadors de sessió, un atacant podria provocar un desbordament de la memòria intermèdia i controlar la teva aplicació de manera remota.  Si vols obtenir més informació sobre la vulnerabilitat, consulta la pàgina https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466. Per resoldre altres dubtes tècnics, publica les teves preguntes a Stack Overflow i utilitza les etiquetes "android-security" i "GnuTLS".

Nota: tot i que és possible que aquests problemes no afectin totes les aplicacions que utilitzen les versions de GnuTLS anteriors a la 3.1.25, 3.2.15 i 3.3.4, és millor tenir tots els pedaços de seguretat actualitzats. Aprofita aquesta oportunitat per actualitzar les aplicacions que tinguin biblioteques dependents obsoletes o altres vulnerabilitats.

Abans de publicar cap aplicació, assegura't que compleixi l'Acord de distribució per a desenvolupadors i la política de continguts

Som aquí per ajudar-te

Si tens cap dubte tècnic sobre la vulnerabilitat, pots publicar les teves preguntes a Stack Overflow amb l'etiqueta "android-security". Per aclarir els passos que has de seguir per resoldre aquest problema, pots contactar amb el nostre equip d'assistència per a desenvolupadors.