Estas informações destinam-se aos programadores que receberam uma mensagem por terem aplicações que utilizam uma versão do GnuTLS (uma biblioteca de comunicações que implementa os protocolos SSL, TLS e DTLS) que contém uma vulnerabilidade de segurança. Estas aplicações violam a disposição sobre Produtos perigosos da Política de Conteúdos e a secção 4.4 do Contrato de Distribuição para Programadores.
Atualize as suas aplicações assim que possível e aumente o número de versão do APK atualizado. As aplicações e as atualizações de aplicações com a vulnerabilidade do GnuTLS não serão aceites pelo Google Play. Se utilizar uma biblioteca de terceiros que inclua o GnuTLS, notifique essa parte e trabalhe com ela para resolver o problema.
O que está a acontecer
Consulte o aviso na Play Console. Após os prazos apresentados na Play Console, as aplicações que contenham vulnerabilidades de segurança não corrigidas serão removidas do Google Play.
Ação necessária
- Inicie sessão na Play Console e navegue até à secção Alertas para ver quais as aplicações afetadas e os prazos para resolver estes problemas.
- Atualize as aplicações afetadas e corrija a vulnerabilidade.
- Envie as versões atualizadas das aplicações afetadas.
Depois de voltar a enviar, a sua aplicação será revista novamente. Este processo pode demorar várias horas. Se a aplicação obtiver a aprovação na revisão e for publicada com êxito, não será necessária qualquer ação adicional. Se a aplicação falhar na revisão, a nova versão da aplicação não será publicada e receberá uma notificação por email.
Detalhes adicionais
A vulnerabilidade foi resolvida nas versões GnuTLS 3.1.25, GnuTLS 3.2.15 e GnuTLS 3.3.4. Pode transferir as versões mais recentes do GnuTLS a partir do Website do GnuTLS. Para obter ajuda relacionada com a atualização, consulte a documentação de apoio técnico do GnuTLS.
Devido a uma falha na forma como a sua versão do GnuTLS analisa os IDs de sessão, um utilizador mal-intencionado pode originar uma sobrecarga do buffer e controlar remotamente a aplicação. Para mais informações acerca da vulnerabilidade, veja https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466. Para outras questões técnicas, publique uma mensagem no Stack Overflow e utilize as etiquetas "android-security" e "GnuTLS".
Nota: apesar de estes problemas poderem não afetar todas as aplicações que utilizem versões do GnuTLS anteriores à 3.1.25, 3.2.15 e 3.3.4, é melhor manter-se atualizado no que respeita a todos os patches de segurança. Aproveite esta oportunidade para atualizar aplicações com bibliotecas dependentes desatualizadas ou com outras vulnerabilidades.
Antes de publicar aplicações, certifique-se de que estas estão em conformidade com o Contrato de Distribuição para Programadores e a Política de Conteúdos.
Estamos aqui para ajudar
Se tiver perguntas técnicas acerca da vulnerabilidade, pode publicar uma mensagem no Stack Overflow e utilizar a etiqueta "android-security". Para obter um esclarecimento sobre os passos que tem de efetuar para resolver este problema, pode contactar a nossa equipa de apoio técnico a programadores.