Reparación de apps con vulnerabilidades de SDK portátiles para la biblioteca UPnP

Esta información está dirigida a programadores de apps que usan versiones anteriores a la 1.6.18 de SDK portátiles para dispositivos UPnP, conocidas como libupnp. Libupnp es una biblioteca que permite reproducir archivos multimedia o conectarse a otros dispositivos dentro de la red de un usuario. Migra tus apps a libupnp v1.6.18 o una versión posterior lo antes posible y aumenta el número de la versión del APK actualizado.

Novedades

A partir del 9 de mayo de 2016, Google Play comenzó a bloquear la publicación de las actualizaciones y apps nuevas que usan versiones anteriores de libupnp. Consulta la notificación en tu cuenta de Play ConsoleDespués de los plazos que aparecen en Play Console, es posible que se eliminen de Google Play todas las apps que contengan vulnerabilidades de seguridad no resueltas.

Acción necesaria​

  1. Accede a tu cuenta de Play Console y desplázate a la sección "Alertas" para ver qué apps están afectadas, así como los plazos para resolver los problemas.
  2. Actualiza las apps afectadas y corrige la vulnerabilidad.
  3. Envía las versiones actualizadas de las apps afectadas.

Una vez que las hayas reenviado, revisaremos tu app nuevamente. Este proceso puede demorar varias horas. Si la app pasa la revisión y se publica sin problemas, no se requiere ninguna otra acción. Si la app no pasa la revisión, no se publicará la nueva versión, y recibirás una notificación por correo electrónico.

Detalles adicionales

Se pudo solucionar el problema de vulnerabilidad en la versión 1.6.18 de libupnp. Las versiones más recientes del SDK de libupnp se pueden descargar del sitio de libupnp. Si quieres obtener ayuda para realizar la actualización, visita esta página de asistencia de libupnp. Si usas una biblioteca de un tercero que incluya libupnp, tendrás que actualizarla a una con libupnp 1.6.18 o versiones posteriores.

Las versiones afectadas de lipupnp contienen vulnerabilidades que pueden provocar desbordamiento del búfer, lo que les permite a los agresores ejecutar códigos arbitrarios en el dispositivo afectado. Para obtener más información sobre la vulnerabilidad, consulta esta entrada del blog TrendMicro. Para otras cuestiones técnicas, puedes publicar comentarios en Stack Overflow y usar las etiquetas "android-security" y "libupnp".

Si bien es posible que estos problemas no afecten a todas las apps que usan libupnp, se recomienda mantener todos los parches de seguridad actualizados. Las apps con vulnerabilidades que comprometan la seguridad de los usuarios pueden considerarse Productos Peligrosos que incumplen la Política de Contenido y el Artículo 4.4 del Acuerdo de Distribución para Desarrolladores.

Las apps también deben cumplir con el Acuerdo de Distribución para Desarrolladores y la Política de Contenido

Estamos aquí para ayudarte

Si tienes preguntas técnicas sobre la vulnerabilidad, publícalas en Stack Overflow con la etiqueta "android-security". Si tienes dudas sobre los pasos que debes seguir para resolver este problema, comunícate con nuestro equipo de asistencia para desarrolladores.