Informasi ini ditujukan bagi developer yang menerima pesan karena aplikasi mereka menggunakan versi GnuTLS (library komunikasi yang menerapkan protokol SSL, TLS, dan DTLS) yang rentan keamanannya. Aplikasi ini melanggar ketentuan Produk berbahaya pada Kebijakan Konten dan pasal 4.4 Perjanjian Distribusi Developer.
Upgrade aplikasi Anda sesegera mungkin dan tambahkan nomor versi APK yang telah diupgrade. Aplikasi dan update aplikasi yang berisi kerentanan GnuTLS tidak akan diterima oleh Google Play. Jika Anda menggunakan library pihak ketiga yang menyertakan GnuTLS, beri tahu pihak ketiga tersebut dan hubungi mereka untuk menangani masalah ini.
Yang terjadi
Lihat pemberitahuan di Play Console. Setelah batas waktu yang ditampilkan di Play Console, aplikasi apa pun yang memiliki kerentanan keamanan yang tidak diperbaiki akan dihapus dari Google Play.
Tindakan yang diperlukan
- Login ke Play Console, dan buka bagian Notifikasi untuk melihat aplikasi mana yang terpengaruh dan batas waktu untuk menyelesaikan masalah ini.
- Update aplikasi yang terpengaruh dan perbaiki kerentanannya.
- Kirimkan versi terupdate aplikasi Anda yang terpengaruh.
Setelah pengiriman ulang, aplikasi Anda akan ditinjau kembali. Proses ini dapat memerlukan waktu beberapa jam. Jika aplikasi lolos dari proses peninjauan dan dipublikasikan, Anda tidak perlu melakukan tindakan lebih lanjut. Jika aplikasi gagal dalam proses peninjauan, versi aplikasi baru tidak akan dipublikasikan dan Anda akan menerima email notifikasi.
Detail tambahan
Masalah kerentanan telah diatasi pada GnuTLS 3.1.25, GnuTLS 3.2.15, dan GnuTLS 3.3.4. Versi terbaru GnuTLS dapat didownload dari situs GnuTLS. Untuk mendapatkan bantuan dalam melakukan upgrade, lihat dokumentasi dukungan GnuTLS.
Karena ada cacat dalam proses penguraian ID sesi pada GnuTLS ini, penyerang berpotensi memicu luapan buffer dan mengontrol aplikasi dari jarak jauh. Untuk informasi selengkapnya tentang kerentanan, lihat https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466. Untuk pertanyaan teknis lainnya, posting ke Stack Overflow serta gunakan tag “android-security” dan “GnuTLS”.
Catatan: meskipun masalah ini mungkin tidak memengaruhi setiap aplikasi yang menggunakan GnuTLS sebelum versi 3.1.25, 3.2.15, dan 3.3.4, sebaiknya selalu update semua patch keamanan. Luangkan waktu untuk mengupdate aplikasi yang library bergantungnya sudah usang atau memiliki kerentanan lainnya.
Sebelum memublikasikan aplikasi, pastikan aplikasi telah sesuai dengan Perjanjian Distribusi Developer dan Kebijakan Konten.
Kami siap membantu
Jika ada pertanyaan teknis tentang kerentanan, Anda dapat mengirim postingan ke Stack Overflow dan menggunakan tag “android-security”. ssUntuk penjelasan tentang langkah-langkah yang diperlukan guna menyelesaikan masalah ini, Anda dapat menghubungi tim dukungan developer.