מידע זה מיועד למפתחי אפליקציות שמשתמשים בגרסה מוקדמת מ-1.6.18 של ה-SDK הנייד למכשירי UPnP, המוכר בשם libupnp. Libupnp היא ספרייה שמשמשת להפעלת קובצי מדיה או להתחברות למכשירים אחרים ברשת של המשתמש.יש להעביר את האפליקציות אל libupnp מגרסה 1.6.18 ואילך בהקדם האפשרי ולהגדיל את מספר הגרסה של ה-APK המשודרג.
מה קורה?
החל מ-9 במאי 2016, Google Play החל לחסום פרסומים של אפליקציות או עדכונים חדשים שמשתמשים בגרסאות של libupnp שקודמות ל-1.6.18. יש לעיין בהודעה שב-Play Console.לאחר המועדים האחרונים לתיקון שמוצגים ב-Play Console, אפליקציות שיכילו פרצות אבטחה לא מתוקנות יוסרו מ-Google Play.
הפעולה הנדרשת
- נכנסים לחשבון Play Console, ועוברים לקטע ההתראות כדי לבדוק אילו אפליקציות מושפעות מהבעיות ומהם המועדים האחרונים לתיקון.
- מעדכנים את האפליקציות המושפעות ומתקנים את פרצת האבטחה.
- שולחים את הגרסאות המעודכנות של האפליקציות המושפעות.
לאחר השליחה החוזרת, האפליקציה שלכם תיבדק שוב. תהליך זה עשוי להימשך כמה שעות. אם האפליקציה עוברת את הבדיקה ומתפרסמת בהצלחה, לא יהיה צורך בפעולה נוספת. אם האפליקציה תיכשל בבדיקה, גרסת האפליקציה החדשה לא תתפרסם ותקבלו התראה באימייל.
פרטים נוספים
פרצת האבטחה תוקנה בגירסה 1.6.18 של libupnp. את הגרסאות העדכניות של ה-SDK של libupnp ניתן להוריד באתר של libupnp. לקבלת עזרה בשדרוג, עיין בדף התמיכה של libupnp. אם אתם משתמשים בספרייה של צד שלישי שכוללת את libupnp, יהיה צורך לשדרג אותה לגרסה הכוללת את libupnp 1.6.18 ואילך.
גרסאות lipupnp שנפגעו מכילות נקודות תורפה של גלישת חוצץ במחסנית, אשר עלולות לאפשר לתוקפים להריץ קוד זדוני במכשיר שנפגע. לקבלת מידע נוסף על נקודת התורפה, עיין בפוסט הבא בבלוג של TrendMicro. לשאלות טכניות אחרות, ניתן לפרסם פוסט באתר Stack Overflow ולהשתמש בתגים 'android-security' ו-'libupnp'.
אף על פי שייתכן שבעיות ספציפיות אלה לא משפיעות על כל אפליקציה שמשתמשת ב-libupnp, מומלץ להתקין את כל תיקוני האבטחה. אפליקציות המכילות נקודות תורפה שחושפות את המשתמשים לסיכון עשויות להיחשב כמוצרים מסוכנים שמפרים את מדיניות התוכן ואת סעיף 4.4 של הסכם ההפצה למפתחים.
האפליקציות צריכות לעמוד גם בתנאים של הסכם ההפצה למפתחים ומדיניות התוכן.
אנחנו כאן כדי לעזור
אם יש לכם שאלות טכניות בנוגע לפגיעוּת זו, ניתן לפרסם פוסט באתר Stack Overflow ולהשתמש בתג “android-security”. משהו לא ברור בשלבים לפתרון הבעיה? ניתן לפנות אל צוות התמיכה שלנו למפתחים.