Az „UPnP-eszközökhöz való hordozható SDK” függvénytárral kapcsolatos sebezhetőséget tartalmazó alkalmazások javítása

Ez az információ az olyan alkalmazások fejlesztőinek szól, amelyek az UPnP-eszközökhöz való hordozható SDK, azaz libupnp bármely, 1.6.18 előtti verzióját használják. A libupnp egy olyan függvénytár, amely médiafájlok lejátszására vagy más eszközökhöz való csatlakozásra szolgál a felhasználó hálózatában. A lehető leghamarabb állítsd át alkalmazásaidat a libupnp 1.6.18 vagy újabb verziójának használatára, és növeld a frissített APK-k verziószámát.

Mi történik?

2016. május 9-től kezdve a Google Play minden olyan új alkalmazás és frissítés közzétételét megakadályozza, amely a libupnp 1.6.18 előtti verzióinak valamelyikét használja. A Play Console felületén lévő értesítésben további információt találhatsz. A Play Console felületén látható határidők után eltávolítjuk a Google Playről azokat az alkalmazásokat, amelyekben még megtalálható a sebezhetőség.

Teendők​

  1. Jelentkezz be a Play Console felületén, majd tekintsd át az Értesítések oldalon az érintett alkalmazásokat és a problémák megoldásának határidőit.
  2. Készíts olyan frissítést az érintett alkalmazásokhoz, amely elhárítja a sebezhetőséget.
  3. Küldd be az érintett alkalmazások frissített verzióit.

A beküldés után alkalmazásodat ismét ellenőrizzük. A folyamat több órát is igénybe vehet. Ha az alkalmazás megfelel az ellenőrzésen, és ezt követően közzétesszük, nincs más teendőd. Ha az alkalmazás nem felel meg az ellenőrzésen, akkor nem tesszük közzé az új verziót, és e-mailben értesítést küldünk a fejleményről.

Részletek

Ezt a biztonsági rést a libupnp 1.6.18-as verziójában kijavították. A libupnp SDK legújabb verziói a libupnp webhelyéről tölthetők le. Ha segítségre van szükséged a verziófrissítéshez, keresd fel a libupnp súgóoldalát. Ha harmadik fél olyan függvénytárát használod, amely tartalmazza a libupnp-t, akkor olyan verzióra kell frissítened, amelyben a libupnp 1.6.18-as vagy újabb verziója található.

A lipupnp érintett verziói verempuffer-túlcsordulással járó biztonsági réseket tartalmazhatnak, amelyek lehetővé tehetik a támadók számára tetszőleges kódok lefuttatását az érintett eszközön. A biztonsági gyakorlatainkkal kapcsolatos további információkat a TrendMicro blogbejegyzésében olvashatod. Egyéb technikai kérdéseidet a Stack Overflow webhelyen, az „android-security” és „libupnp” címkék használatával teheted fel.

Bár ezek a konkrét problémák nem feltétlenül vonatkoznak minden olyan alkalmazásra, amely az libupnp szolgáltatást használja, érdemes naprakésznek lenni a biztonsági javítások tekintetében. A biztonsági réseket tartalmazó, így a felhasználókat a támadások kockázatának kitevő alkalmazásokat veszélyes termékeknek tekinthetjük, amelyek sértik tartalmi irányelveinket, illetve a Fejlesztői terjesztési megállapodás 4.4. szakaszát.

Az alkalmazásoknak meg kell felelniük a Fejlesztői terjesztési megállapodásban és a tartalmi irányelvekben foglaltaknak is. 

Örömmel segítünk

A sebezhetőségre vonatkozó technikai kérdéseidet felteheted a Stack Overflow webhelyén, az „android-security” címkével ellátva. Ha a probléma megoldásának lépéseire vonatkozóan szeretnél tisztázni valamit, vedd fel a kapcsolatot fejlesztőtámogatási csapatunkkal.