Queste informazioni sono rivolte agli sviluppatori che hanno ricevuto un messaggio che li informa che le loro app utilizzano una versione di GnuTLS (una libreria di comunicazioni che implementa i protocolli SSL, TLS e DTLS) che presenta una vulnerabilità di sicurezza. Queste app violano la disposizione Prodotti pericolosi delle Norme relative ai contenuti e la sezione 4.4 del Contratto di distribuzione per gli sviluppatori.
Esegui l'upgrade delle tue app nel più breve tempo possibile e incrementa il numero di versione dell'APK aggiornato. Le app e gli aggiornamenti delle app che contengono le vulnerabilità GnuTLS non verranno accettati d Google Play. Se utilizzi una libreria di terze parti che comprende GnuTLS, informa la terza parte e cercate di risolvere insieme il problema.
Situazione attuale
Consulta la notifica sulla Play Console. Passate le scadenze visualizzate nella Play Console, le app che contengono vulnerabilità di sicurezza non corrette potrebbero essere rimosse da Google Play.
Azione richiesta
- Accedi alla Play Console e vai alla sezione Avvisi per scoprire quali app sono interessate dai problemi e le scadenze per risolverli.
- Aggiorna le app interessate e correggi la vulnerabilità.
- Invia le versioni aggiornate delle tue app coinvolte.
Quando invii nuovamente le app, queste vengono riesaminate. Questa procedura può richiedere diverse ore. Se l'app supera il controllo e viene pubblicata correttamente, non sono necessari ulteriori interventi. Se l'app non supera il controllo, la nuova versione dell'app non verrà pubblicata e riceverai una notifica via email.
Ulteriori dettagli
La vulnerabilità è stata risolta in GnuTLS 3.1.25, GnuTLS 3.2.15 e GnuTLS 3.3.4. Puoi scaricare le versioni più recenti di GnuTLS dal sito web di GnuTLS. Per informazioni sull'upgrade, leggi la documentazione di supporto di GnuTLS.
A causa di un errore nella modalità di analisi degli ID sessione nella tua versione di GnuTLS, un utente malintenzionato potrebbe attivare un overflow del buffer e controllare da remoto la tua app. Per ulteriori informazioni sulla vulnerabilità, consulti la pagina https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466. Pubblica eventuali altre domande tecniche su Stack Overflow e utilizza i tag "android-security" e "GnuTLS".
Nota: anche se questi problemi non interessano tutte le app che utilizzano versioni di GnuTLS precedenti alla 3.1.25, 3.2.15 e 3.3.4, è meglio essere sempre aggiornati su tutte le patch di sicurezza. Ti invitiamo ad aggiornare le app con librerie dipendenti obsolete o con altre vulnerabilità.
Prima di pubblicare app, assicurati che siano conformi al Contratto di distribuzione per gli sviluppatori e alle norme relative ai contenuti.
Siamo qui per aiutarti
Puoi pubblicare eventuali domande tecniche relative alla vulnerabilità su Stack Overflow con il tag "android-security". Per chiarimenti sui passaggi da seguire per risolvere il problema, puoi contattare il nostro team di assistenza per gli sviluppatori.