Cómo reparar apps afectadas por la vulnerabilidad de GnuTLS

Esta información está dirigida a desarrolladores que recibieron un mensaje porque tienen apps que usan una versión de GnuTLS (una biblioteca de comunicaciones que implementa protocolos SSL, TLS y DTLS) que contiene una vulnerabilidad de seguridad. Estas apps infringen la cláusula de Productos Peligrosos de la Política de Contenido y el Artículo 4.4 del Acuerdo de Distribución para Desarrolladores. 

Actualiza tus apps lo antes posible y aumenta el número de versión del APK actualizado.  Google Play no aceptará apps ni actualizaciones que contengan la vulnerabilidad de GnuTLS. Si usas una biblioteca de un tercero que incluya GnuTLS, notifícalo y trabajen juntos para solucionar el problema.

Novedades

Consulta la notificación en tu cuenta de Play ConsoleDespués de los plazos que aparecen en Play Console, es posible que se eliminen de Google Play todas las apps que contengan vulnerabilidades de seguridad no resueltas.

Acción necesaria​

  1. Accede a tu cuenta de Play Console y desplázate a la sección "Alertas" para ver qué apps están afectadas, así como los plazos para resolver los problemas.
  2. Actualiza las apps afectadas y corrige la vulnerabilidad.
  3. Envía las versiones actualizadas de las apps afectadas.

Una vez que las hayas reenviado, revisaremos tu app nuevamente. Este proceso puede demorar varias horas. Si la app pasa la revisión y se publica sin problemas, no se requiere ninguna otra acción. Si la app no pasa la revisión, no se publicará la nueva versión, y recibirás una notificación por correo electrónico.

Detalles adicionales

La vulnerabilidad se resolvió en GnuTLS 3.1.25, GnuTLS 3.2.15 y GnuTLS 3.3.4. Las versiones más recientes de GnuTLS se pueden descargar en el sitio web de GnuTLS.  Para obtener ayuda con la actualización, consulta la documentación de asistencia de GnuTLS.

Debido a un defecto en la manera en que tu versión de GnuTLS analiza los ID de sesión, un atacante podría desencadenar un desbordamiento del búfer y controlar tu app de forma remota.  Para obtener más información acerca de la vulnerabilidad, visita https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466. Si tienes otras preguntas técnicas, publícalas en Stack Overflow con las etiquetas "android-security" y "GnuTLS".

Nota: Si bien es posible que los problemas no afecten a todas las apps que usan versiones anteriores a GnuTLS 3.1.25, 3.2.15 y 3.3.4, es aconsejable que mantengas todos los parches de seguridad actualizados. Actualiza las apps que tienen bibliotecas dependientes desactualizadas y otras vulnerabilidades.

Antes de publicar apps, asegúrate de que cumplan con el Acuerdo de Distribución para Desarrolladores y la Política de Contenido

Estamos aquí para ayudarte

Si tienes preguntas técnicas sobre la vulnerabilidad, publícalas en Stack Overflow con la etiqueta "android-security". Si tienes dudas sobre los pasos que debes seguir para resolver este problema, comunícate con nuestro equipo de asistencia para desarrolladores.