Estas informações destinam-se aos programadores de aplicações que utilizam qualquer versão do Portable SDK para dispositivos UPnP, ou seja, libupnp, anterior à versão 1.6.18. A libupnp é uma biblioteca utilizada para reproduzir ficheiros multimédia ou ligar a outros dispositivos na rede de um utilizador.Migre as suas aplicações para a versão libupnp v1.6.18 ou superior assim que possível e aumente o número de versão do APK atualizado.
O que está a acontecer
A partir de 9 de maio de 2016, o Google Play começou a bloquear a publicação de quaisquer novas aplicações ou atualizações que utilizem versões da libupnp anteriores à 1.6.18. Consulte o aviso na Play Console. Após os prazos apresentados na Play Console, as aplicações que contenham vulnerabilidades de segurança não corrigidas poderão ser removidas do Google Play.
Ação necessária
- Inicie sessão na Play Console e navegue até à secção Alertas para ver quais as aplicações afetadas e os prazos para resolver estes problemas.
- Atualize as aplicações afetadas e corrija a vulnerabilidade.
- Envie as versões atualizadas das aplicações afetadas.
Depois de voltar a enviar, a sua aplicação será revista novamente. Este processo pode demorar várias horas. Se a aplicação obtiver a aprovação na revisão e for publicada com êxito, não será necessária qualquer ação adicional. Se a aplicação falhar na revisão, a nova versão da aplicação não será publicada e receberá uma notificação por email.
Detalhes adicionais
A vulnerabilidade foi resolvida na versão 1.6.18 da libupnp. Pode transferir as versões mais recentes do SDK da libupnp a partir do site da libupnp. Para obter ajuda relacionada com a atualização, consulte a página de apoio técnico da libupnp. Se utilizar uma biblioteca de terceiros que agregue a libupnp, tem de a atualizar para uma versão que agregue a versão 1.6.18 ou posterior da libupnp.
As versões afetadas da libupnp contêm vulnerabilidades ao nível da sobrecarga do buffer da pilha, que podem permitir que utilizadores mal-intencionados executem código arbitrário num dispositivo afetado. Para obter mais informações acerca da vulnerabilidade, consulte esta publicação no blogue da TrendMicro. Para outras questões técnicas, pode publicar uma mensagem no Stack Overflow e utilizar as etiquetas "android-security" e "libupnp".
Apesar de estes problemas específicos poderem não afetar todas as aplicações que utilizam a libupnp, é melhor manter-se atualizado no que respeita a todos os patches de segurança. As aplicações com vulnerabilidades que expõem os utilizadores ao risco de comprometimento podem ser consideradas produtos perigosos e, consequentemente, violar a Política de Conteúdos e a secção 4.4 do Contrato de Distribuição para Programadores.
As aplicações também devem estar em conformidade com o Contrato de Distribuição para Programadores e a Política de Conteúdos.
Estamos aqui para ajudar
Se tiver perguntas técnicas acerca da vulnerabilidade, pode publicar uma mensagem no Stack Overflow e utilizar a etiqueta "android-security". Para obter um esclarecimento sobre os passos que tem de efetuar para resolver este problema, pode contactar a nossa equipa de apoio técnico a programadores.