この情報は、バージョン 1.6.18 より前のすべてのバージョンの Portable SDK for UPnP Devices(別名 libupnp)を使用しているアプリのデベロッパーを対象としています。libupnp はメディア ファイルを再生したり、ユーザーのネットワーク内にある別のデバイスに接続したりするためのライブラリです。早急にアプリを libupnp v1.6.18 以降に移行し、アップグレードした APK のバージョン番号を更新してください。
状況
2016 年 5 月 9 日以降、Google Play では 1.6.18 より前のバージョンの libupnp を使用する新規アプリやアップデートの公開が禁止されています。詳しくは Play Console の通知をご覧ください。Play Console に表示されている期限を過ぎた後もセキュリティの脆弱性が修正されていないアプリは、Google Play から削除される場合があります。
必要な対応
- Play Console にログインし、[アラート] セクションで該当するアプリや問題の解決期限を確認します。
- 該当のアプリを更新し、脆弱性を修正します。
- 該当するアプリの更新バージョンを送信します。
再送信すると、アプリは再度審査されます。審査には数時間ほどかかることがあります。アプリが審査に合格して正常に公開された場合、これ以上の対応は不要です。アプリが審査に不合格となった場合、アプリの更新バージョンは公開されず、メールで通知が届きます。
その他の詳細
この脆弱性は libupnp 1.6.18 で解決されています。最新バージョンの libupnp SDK は libupnp のサイトからダウンロードできます。アップグレードについてサポートが必要な場合は、libupnp のサポートページをご覧ください。libupnp をバンドルするサードパーティのライブラリを使用している場合、libupnp 1.6.18 以降をバンドルするバージョンにアップグレードする必要があります。
問題の libupnp のバージョンにはスタック バッファ オーバーフローの脆弱性があります。攻撃者はこの脆弱性を悪用し、影響を受けたデバイス上で任意のコードを実行できてしまいます。この脆弱性について詳しくは、こちらのトレンドマイクロのブログ投稿をご覧ください。この他の技術的な不明点については、Stack Overflow にタグ「android-security」および「libupnp」を使用してご投稿ください。
この問題が libupnp を使用するすべてのアプリに必ずしも影響するわけではありませんが、常に最新のセキュリティ パッチをすべて適用することをおすすめします。セキュリティ侵害の危険がある脆弱性を含むアプリは、コンテンツ ポリシーとデベロッパー販売 / 配布契約の第 4.4 項に違反する「危険なプロダクト」と判断される場合があります。
アプリはデベロッパー販売 / 配布契約とコンテンツ ポリシーに準拠している必要があります。
サポートのご案内
脆弱性に関する技術的なご質問については、Stack Overflow にご投稿ください。その際、「android-security」タグをご利用ください。この問題を解決するための手順で不明な点がありましたら、デベロッパー サポートチームにお問い合わせください。