Zawarte tu informacje są przeznaczone dla programistów aplikacji, które korzystają z dowolnej wersji pakietu Portable SDK dla urządzeń obsługujących bibliotekę UPnP (czyli libupnp) w wersji starszej niż 1.6.18. Biblioteka libupnp umożliwia odtwarzanie plików multimedialnych na urządzeniu oraz łączenie się z innymi urządzeniami w sieci użytkownika.Jak najszybciej przeprowadź migrację aplikacji do libupnp w wersji 1.6.18 lub nowszej i zwiększ numer wersji uaktualnionego pliku APK.
O co chodzi?
Od 9 maja 2016 roku Google Play blokuje publikowanie nowych aplikacji i aktualizacji korzystających z wersji libupnp starszych niż 1.6.18. Zapoznaj się z powiadomieniem w Konsoli Play. Po przekroczeniu terminów wskazanych w Konsoli Play wszystkie aplikacje z lukami w zabezpieczeniach mogą zostać usunięte z Google Play.
Wymagane działania
- Zaloguj się w Konsoli Play i przejdź do sekcji Alerty, by sprawdzić, których aplikacji dotyczy problem i jaki jest termin jego rozwiązania.
- Zaktualizuj te aplikacje i usuń lukę w zabezpieczeniach.
- Prześlij zaktualizowane wersje tych aplikacji.
Po ponownym przesłaniu aplikacja zostanie jeszcze raz sprawdzona. Ten proces może potrwać kilka godzin. Jeśli aplikacja pomyślnie przejdzie weryfikację i zostanie opublikowana, nie musisz już nic robić. Jeśli wynik weryfikacji nie będzie pomyślny, nowa wersja aplikacji nie zostanie opublikowana, a Ty otrzymasz powiadomienie e-mailem.
Dodatkowe szczegóły
Luka w zabezpieczeniach została usunięta w bibliotece libupnp w wersji 1.6.18. Najnowszą wersję pakietu SDK biblioteki libupnp można pobrać z tej strony. Informacje o sposobie przeprowadzenia uaktualnienia znajdziesz na stronie pomocy biblioteki libupnp. Jeśli używasz biblioteki zewnętrznej, która zawiera bibliotekę libupnp w pakiecie, musisz ją uaktualnić do wersji obejmującej bibliotekę libupnp w wersji 1.6.18 lub nowszej.
W przypadku wersji biblioteki libupnp, w których występuje luka, może dojść do przepełnienia bufora stosu, co umożliwia atakującym uruchomienie dowolnego kodu na urządzeniu. Więcej informacji na temat luki znajdziesz w poście na blogu TrendMicro. Jeśli masz pytania techniczne, możesz je opublikować na stronie Stack Overflow, używając tagów „android-security” i „libupnp”.
Te problemy nie muszą pojawić się w każdej aplikacji używającej biblioteki libupnp, ale najlepiej jest na bieżąco wprowadzać wszelkie poprawki zabezpieczeń. Aplikacje z lukami narażającymi użytkowników na niebezpieczeństwo możemy uznać za produkty niebezpieczne z powodu naruszenia naszej Polityki treści oraz artykułu 4.4 Umowy dystrybucyjnej dla deweloperów.
Aplikacje muszą być też zgodne z Umową dystrybucyjną dla deweloperów i Polityką treści.
Chętnie Ci pomożemy
Jeśli masz pytania techniczne związane z tą luką w zabezpieczeniach, możesz je opublikować na Stack Overflow, używając tagu „android-security”. Jeśli potrzebujesz wyjaśnienia czynności niezbędnych do rozwiązania tego problemu, skontaktuj się z naszym zespołem pomocy dla deweloperów.