Queste informazioni sono rivolte agli sviluppatori di app che utilizzano versioni della libreria Portable SDK for UPnP Devices, anche chiamata libupnp, precedenti alla versione 1.6.18. Libupnp è una libreria che consente di riprodurre file multimediali o di collegarsi ad altri dispositivi sulla rete di un utente. Esegui appena possibile la migrazione delle tue app per usare libupnp v1.6.18 o versioni successive e incrementa il numero di versione dell'APK aggiornato.
Situazione attuale
Dal 9 maggio 2016 Google Play impedisce la pubblicazione di nuove app o aggiornamenti che usano versioni di libupnp precedenti alla 1.6.18. Leggi la notifica su Play Console. Dopo le scadenze indicate in Play Console, le app che contengono vulnerabilità di sicurezza non corrette potrebbero essere rimosse da Google Play.
Azione richiesta
- Accedi a Play Console e vai alla sezione Avvisi per scoprire quali app sono interessate dai problemi e le scadenze per risolverli.
- Aggiorna le app interessate e correggi la vulnerabilità.
- Invia le versioni aggiornate delle app interessate.
Quando invii nuovamente le app, queste vengono riesaminate. Questa procedura può richiedere diverse ore. Se l'app supera il controllo e viene pubblicata correttamente, non sono necessari ulteriori interventi. Se invece l'app non supera il controllo, la nuova versione dell'app non verrà pubblicata e riceverai una notifica via email.
Ulteriori dettagli
La vulnerabilità è stata risolta nella versione 1.6.18 di libupnp. È possibile scaricare le versioni più recenti dell'SDK libupnp sul sito libupnp. Per ricevere assistenza per l'upgrade, visita la pagina di supporto relativa a libupnp. Se utilizzi una libreria di terze parti che comprende libupnp, dovrai eseguire l'upgrade a una versione contenente libupnp 1.6.18 o versioni successive.
Le versioni di lipupnp in questione presentano vulnerabilità di sovraccarico del buffer nello stack, che potrebbero consentire ai malintenzionati di eseguire codice arbitrario sui dispositivi interessati. Per ulteriori informazioni sulla vulnerabilità, leggi questo post del blog TrendMicro. Puoi pubblicare altre domande tecniche su Stack Overflow utilizzando i tag "android-security" e "libupnp".
Anche se questi problemi specifici potrebbero non riguardare ogni app che utilizza libupnp, è meglio essere sempre aggiornati su tutte le patch di sicurezza. Le app con vulnerabilità che mettono a rischio la sicurezza degli utenti potrebbero essere considerate prodotti pericolosi in violazione delle Norme relative ai contenuti e della sezione 4.4 del Contratto di distribuzione per gli sviluppatori.
Le app devono inoltre essere conformi al Contratto di distribuzione per gli sviluppatori e alle Norme relative ai contenuti.
Siamo qui per aiutarti
Puoi pubblicare eventuali domande tecniche relative alla vulnerabilità su Stack Overflow con il tag "android-security". Per chiarimenti sui passaggi da seguire per risolvere il problema, puoi contattare il nostro team di assistenza per gli sviluppatori.