Como corrigir apps com a vulnerabilidade do GnuTLS

Estas informações são destinadas aos desenvolvedores que receberam uma mensagem por terem apps que usam uma versão do GnuTLS, uma biblioteca de comunicações que implementa protocolos SSL, TLS e DTLS, com uma vulnerabilidade de segurança. Esses apps violam a cláusula sobre Produtos perigosos da Política de conteúdo e a seção 4.4 do Contrato de distribuição do desenvolvedor. 

Faça o upgrade dos seus apps assim que possível e aumente o número da versão do APK atualizado.  Apps e atualizações que apresentem a vulnerabilidade do GnuTLS não serão aceitos pelo Google Play. Caso você use uma biblioteca de terceiros que inclua o GnuTLS, informe-os sobre o problema e trabalhe com eles para encontrar soluções.

O que está acontecendo

Consulte o aviso no Play Console. Após os prazos exibidos no Play Console, todos os apps com vulnerabilidades de segurança não corrigidas poderão ser removidos do Google Play.

Ação necessária​

  1. Faça login no Play Console e acesse a seção "Alertas" para ver os apps afetados e os prazos para resolver os problemas.
  2. Atualize esses apps e corrija a vulnerabilidade.
  3. Envie as versões atualizadas dos apps afetados.

Após o reenvio, seu app será revisado novamente. Esse processo pode levar várias horas. Se o app for aprovado na revisão e publicado, nenhuma outra ação será necessária. Se ele for reprovado, a nova versão não será publicada, e você receberá uma notificação por e-mail.

Detalhes adicionais

A vulnerabilidade foi corrigida no GnuTLS 3.1.25, GnuTLS 3.2.15 e GnuTLS 3.3.4. Faça o download das versões mais recentes do GnuTLS neste site.  Caso precise de ajuda ao fazer o upgrade, consulte a documentação de suporte do GnuTLS.

Devido a uma falha em como sua versão do GnuTLS analisa os códigos de sessão, um invasor poderia causar um estouro de buffer e controlar seu app remotamente.  Para saber mais sobre a vulnerabilidade, consulte https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466. Para outras perguntas técnicas, poste uma mensagem no Stack Overflow e use as tags "android-security" e "GnuTLS".

Observação: mesmo que esses problemas específicos não afetem todos os apps que usam o GnuTLS nas versões anteriores à 3.1.25, 3.2.15 e 3.3.4, é recomendável manter todos os patches de segurança atualizados. Atualize seus apps que têm bibliotecas dependentes e desatualizadas ou com outras vulnerabilidades.

Antes de publicar apps, verifique se eles estão em conformidade com o Contrato de distribuição do desenvolvedor e a Política de conteúdo

Estamos aqui para ajudar

Se você tiver dúvidas técnicas sobre a vulnerabilidade, escreva uma postagem no Stack Overflow e use a tag "android-security". Caso precise de mais informações sobre as etapas necessárias para resolver esse problema, entre em contato com nossa equipe de suporte ao desenvolvedor.

Isso foi útil?
Como podemos melhorá-lo?