Die folgenden Informationen richten Sie an Entwickler, die darüber informiert wurden, dass mindestens eine ihrer Apps eine Version von GnuTLS verwendet, die Sicherheitslücken aufweist. GnuTLS ist eine Kommunikationsbibliothek, die SSL-, TLS- und DTLS-Protokolle unterstützt. Die davon betroffenen Apps verstoßen gegen die Bestimmung der Inhaltsrichtlinien in Bezug auf gefährliche Produkte sowie gegen Abschnitt 4.4 der Vereinbarung für den Entwicklervertrieb.
Aktualisieren Sie Ihre App so bald wie möglich und erhöhen Sie die Versionsnummer des aktualisierten APK. Apps und App-Updates, die die GnuTLS-Sicherheitslücke enthalten, werden von Google Play nicht akzeptiert. Wenn Sie eine Bibliothek eines Drittanbieters verwenden, die GnuTLS enthält, benachrichtigen Sie den entsprechenden Anbieter, um dieses Problem zu beheben.
Aktuelle Informationen
Weitere Informationen zur Sicherheitslücke erhalten Sie in der entsprechenden Benachrichtigung in der Play Console.Nachdem die in der Play Console angezeigten Fristen abgelaufen sind, werden alle Apps, die nicht behobene Sicherheitslücken enthalten, aus Google Play entfernt.
Erforderliche Maßnahmen
- Melden Sie sich in der Play Console an und gehen Sie zum Bereich "Warnmeldungen". Dort sehen Sie, welche Apps betroffen sind und bis wann Sie diese Probleme beheben müssen.
- Aktualisieren Sie die betroffenen Apps und beheben Sie die Sicherheitslücke.
- Reichen Sie aktualisierte Versionen Ihrer betroffenen Apps ein.
Nachdem Ihre App neu eingereicht wurde, wird sie noch einmal überprüft. Dieser Vorgang kann mehrere Stunden dauern. Wenn die App die Überprüfung besteht und veröffentlicht wurde, sind keine weiteren Maßnahmen erforderlich. Falls die App die Überprüfung nicht besteht, wird die neue App-Version nicht veröffentlicht und Sie erhalten eine Benachrichtigung per E-Mail.
Zusätzliche Informationen
Die Sicherheitslücke wurde in GnuTLS 3.1.25, GnuTLS 3.2.15 und GnuTLS 3.3.4 behoben. Sie können die aktuellen GnuTLS-Versionen von der GnuTLS-Website herunterladen. Hilfe zum Upgrade erhalten Sie in der Supportdokumentation zu GnuTLS.
Aufgrund eines Fehlers in der Art, wie Ihre GnuTLS-Version Sitzungs-IDs parst, könnte ein Angreifer einen Pufferüberlauf hervorrufen und Ihre App per Remote-Zugriff steuern. Weitere Informationen zur Sicherheitslücke finden Sie unter https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466. Sonstige technische Fragen können Sie unter Stack Overflow posten. Verwenden Sie dabei die Tags "android-security" und "GnuTLS".
Hinweis: Obwohl sich diese Probleme nicht auf alle Apps auswirken, die niedrigere Versionen als GnuTLS 3.1.25, 3.2.15 und 3.3.4 verwenden, ist es empfehlenswert, sämtliche Sicherheitspatches zu installieren. Nehmen Sie sich die Zeit, um Apps zu aktualisieren, die veraltete abhängige Bibliotheken oder andere Sicherheitslücken haben.
Achten Sie vor dem Veröffentlichen von Apps bitte darauf, dass diese der Vereinbarung für den Entwicklervertrieb und den Inhaltsrichtlinien entsprechen.
Hilfe und Support
Technische Fragen zu dieser Sicherheitslücke können Sie bei Stack Overflow posten. Bitte verwenden Sie dabei das Tag "android-security". Weitere Informationen zu den Maßnahmen, die zur Lösung dieses Problems erforderlich sind, erhalten Sie von unserem Entwicklersupportteam.