Informasi ini ditujukan untuk pengembang aplikasi yang menggunakan versi SDK Portabel untuk perangkat UPnP, yang disebut juga dengan libupnp, sebelum 1.6.18. Libupnp adalah library yang digunakan untuk memutar file media atau menghubungkan ke perangkat lain dalam jaringan pengguna. Harap segera migrasikan aplikasi Anda untuk menggunakan libupnp v1.6.18 atau yang lebih tinggi lalu tambahkan nomor versi APK yang telah diupgrade.
Yang terjadi
Mulai tanggal 9 Mei 2016, Google Play memblokir publikasi aplikasi baru atau update yang menggunakan versi libupnp sebelum 1.6.18. Lihat pemberitahuan di Konsol Play Anda. Setelah batas waktu yang ditampilkan di Konsol Play, aplikasi apa pun yang memiliki kerentanan keamanan yang belum diperbaiki akan dihapus dari Google Play.
Tindakan yang diperlukan
- Login ke Konsol Play Anda, lalu buka bagian Notifikasi untuk melihat aplikasi yang terpengaruh dan batas waktu untuk menyelesaikan masalah ini.
- Update aplikasi yang terpengaruh dan perbaiki kerentanannya.
- Kirimkan versi terupdate aplikasi yang terpengaruh.
Setelah pengiriman ulang, aplikasi Anda akan ditinjau kembali. Proses ini dapat memerlukan waktu hingga beberapa jam. Jika aplikasi berhasil melewati peninjauan dan dipublikasikan, tidak ada tindakan lebih lanjut yang perlu dilakukan. Jika aplikasi gagal ditinjau, versi aplikasi baru tidak akan dipublikasikan dan Anda akan menerima pemberitahuan via email.
Detail tambahan
Kerentanan ini telah diatasi dalam libupnp 1.6.18. Versi terbaru SDK libupnp dapat diunduh di situs libupnp. Jika Anda perlu bantuan untuk meningkatkan versi aplikasi, lihat laman dukungan libupnp. Jika menggunakan library pihak ketiga yang menyatukan libupnp, Anda harus mengupgradenya ke versi yang menyatukan libupnp 1.6.18 atau yang lebih baru.
Versi lipupnp yang terpengaruh memuat kerentanan luapan buffer tumpukan yang memungkinkan penyerang menjalankan kode acak pada perangkat yang terpengaruh. Untuk informasi selengkapnya tentang kerentanan, lihat entri blog TrendMicro ini. Untuk pertanyaan teknis lainnya, Anda dapat mengeposkan ke Stack Overflow serta menggunakan tag “android-security” dan “libupnp”.
Meski masalah ini mungkin tidak memengaruhi setiap aplikasi yang menggunakan libupnp, sebaiknya selalu perbarui semua patch keamanan. Aplikasi dengan kerentanan yang menimbulkan risiko bagi pengguna untuk disusupi dapat dianggap sebagai produk berbahaya yang melanggar Kebijakan Konten dan pasal 4.4 Perjanjian Distribusi Developer.
Aplikasi juga harus mematuhi Perjanjian Distribusi Developer dan Kebijakan Konten.
Kami siap membantu
Jika ada pertanyaan teknis tentang kerentanan, Anda dapat mengirim postingan ke Stack Overflow dan menggunakan tag “android-security”. Untuk penjelasan tentang langkah-langkah yang diperlukan guna mengatasi masalah ini, Anda dapat menghubungi tim dukungan developer kami.