Como corrigir apps com as vulnerabilidades da biblioteca portátil do SDK for UPnP

Estas informações são destinadas aos desenvolvedores de apps que utilizam versões anteriores à 1.6.18 dos dispositivos portáteis do SDK for UPnP, conhecidos como libupnp. O libupnp é uma biblioteca usada para abrir arquivos de mídia ou se conectar a outros dispositivos na rede de um usuário.Faça a migração dos seus apps para o libupnp v1.6.18 ou posterior assim que possível e aumente o número da versão do APK atualizado.

O que está acontecendo

Em 9 de maio de 2016, o Google Play passou a bloquear a publicação de novos apps ou atualizações que usam o libupnp em versões anteriores à 1.6.18. Consulte o aviso no Play ConsoleApós os prazos exibidos no Play Console, todos os apps com vulnerabilidades de segurança não corrigidas poderão ser removidos do Google Play.

Ação necessária​

  1. Faça login no Play Console e acesse a seção "Alertas" para ver os apps afetados e os prazos para resolver os problemas.
  2. Atualize esses apps e corrija a vulnerabilidade.
  3. Envie as versões atualizadas dos apps afetados.

Após o reenvio, seu app será revisado novamente. Esse processo pode levar várias horas. Se o app for aprovado na revisão e publicado, nenhuma outra ação será necessária. Se ele for reprovado, a nova versão não será publicada, e você receberá uma notificação por e-mail.

Detalhes adicionais

A vulnerabilidade foi corrigida no libupnp 1.6.18. É possível fazer o download das versões mais recentes do SDK do libupnp no site do libupnp. Para informações sobre o upgrade, acesse a página de suporte do libupnp. Se você usar uma biblioteca de terceiros que tem o libupnp, faça o upgrade para uma versão que inclua o libupnp 1.6.18 ou posterior.

As versões afetadas do libupnp têm vulnerabilidades de stack buffer overflow. Isso permite que invasores executem códigos arbitrários nos dispositivos afetados. Para mais informações sobre a vulnerabilidade, consulte esta postagem do blog TrendMicro (somente em inglês). Para outras questões técnicas, poste no site Stack Overflow e use as tags "android-security" e "libupnp".

Mesmo que esses problemas específicos não afetem todos os apps que usam o libupnp, é recomendado manter todos os patches de segurança atualizados. Os apps com vulnerabilidades que expõem usuários a risco de comprometimento podem ser considerados produtos perigosos que violam a política de conteúdo e a seção 4.4 do Contrato de distribuição do desenvolvedor.

Os apps também precisam estar de acordo com o Contrato de distribuição do desenvolvedor e a Política de conteúdo

Estamos aqui para ajudar

Se você tiver dúvidas técnicas sobre a vulnerabilidade, escreva uma postagem no Stack Overflow e use a tag "android-security". Caso precise de mais informações sobre as etapas necessárias para resolver esse problema, entre em contato com nossa equipe de suporte ao desenvolvedor.

Isso foi útil?
Como podemos melhorá-lo?