Estas informações são destinadas aos desenvolvedores de apps que utilizam versões anteriores à 1.6.18 dos dispositivos portáteis do SDK for UPnP, conhecidos como libupnp. O libupnp é uma biblioteca usada para abrir arquivos de mídia ou se conectar a outros dispositivos na rede de um usuário.Faça a migração dos seus apps para o libupnp v1.6.18 ou posterior assim que possível e aumente o número da versão do APK atualizado.
O que está acontecendo
Em 9 de maio de 2016, o Google Play passou a bloquear a publicação de novos apps ou atualizações que usam o libupnp em versões anteriores à 1.6.18. Consulte o aviso no Play Console. Após os prazos exibidos no Play Console, todos os apps com vulnerabilidades de segurança não corrigidas poderão ser removidos do Google Play.
Ação necessária
- Faça login no Play Console e acesse a seção "Alertas" para ver os apps afetados e os prazos para resolver os problemas.
- Atualize esses apps e corrija a vulnerabilidade.
- Envie as versões atualizadas dos apps afetados.
Após o reenvio, seu app será revisado novamente. Esse processo pode levar várias horas. Se o app for aprovado na revisão e publicado, nenhuma outra ação será necessária. Se ele for reprovado, a nova versão não será publicada, e você receberá uma notificação por e-mail.
Detalhes adicionais
A vulnerabilidade foi corrigida no libupnp 1.6.18. É possível fazer o download das versões mais recentes do SDK do libupnp no site do libupnp. Para informações sobre o upgrade, acesse a página de suporte do libupnp. Se você usar uma biblioteca de terceiros que tem o libupnp, faça o upgrade para uma versão que inclua o libupnp 1.6.18 ou posterior.
As versões afetadas do libupnp têm vulnerabilidades de stack buffer overflow. Isso permite que invasores executem códigos arbitrários nos dispositivos afetados. Para mais informações sobre a vulnerabilidade, consulte esta postagem do blog TrendMicro (somente em inglês). Para outras questões técnicas, poste no site Stack Overflow e use as tags "android-security" e "libupnp".
Mesmo que esses problemas específicos não afetem todos os apps que usam o libupnp, é recomendado manter todos os patches de segurança atualizados. Os apps com vulnerabilidades que expõem usuários a risco de comprometimento podem ser considerados produtos perigosos que violam a política de conteúdo e a seção 4.4 do Contrato de distribuição do desenvolvedor.
Os apps também precisam estar de acordo com o Contrato de distribuição do desenvolvedor e a Política de conteúdo.
Estamos aqui para ajudar
Se você tiver dúvidas técnicas sobre a vulnerabilidade, escreva uma postagem no Stack Overflow e use a tag "android-security". Caso precise de mais informações sobre as etapas necessárias para resolver esse problema, entre em contato com nossa equipe de suporte ao desenvolvedor.