Как устранить уязвимость libupnp в приложениях

Информация в статье предназначена для разработчиков, чьи приложения включают портативную библиотеку пакета разработчика для UPnP (libupnp) версии ниже 1.6.18. Эта библиотека предназначена для воспроизведения мультимедийных файлов или подключения к другим устройствам в сети пользователя. Как можно скорее перейдите на libupnp версии 1.6.18 или выше, обновите свои приложения и измените номер версии APK-файла.

Что происходит

С 9 мая 2016 года в Google Play нельзя публиковать приложения и обновления, в которых используются версии libupnp ниже 1.6.18. Вам необходимо принять меры до даты, указанной в Play Console. После нее приложения, содержащие уязвимость, могут быть удалены из Google Play.

Что нужно сделать

  1. Чтобы узнать, какие приложения уязвимы и как скоро нужно устранить проблему, войдите в Play Console и откройте раздел "Оповещения".
  2. Устраните уязвимость и обновите затронутые ею приложения.
  3. Опубликуйте обновленные версии приложений.

После этого мы проведем повторную проверку, которая может занять несколько часов. Если уязвимость устранена и вы видите, что приложение опубликовано, дополнительных действий не потребуется. Если проблема не решена, новая версия не будет опубликована и вы получите уведомление по электронной почте.

Сведения об уязвимости

В libupnp 1.6.18 эта уязвимость устранена. Последнюю версию библиотеки можно скачать на сайте libupnp. Подробную информацию об обновлении libupnp вы найдете на этой странице. Если вы используете библиотеку стороннего разработчика, которая включает libupnp, обновите ее до версии с libupnp 1.6.18 или выше.

Версии lipupnp ниже 1.6.18 содержат уязвимость переполнения буфера стека, которая может позволить злоумышленникам выполнить произвольный код на устройстве. Подробнее об уязвимости читайте в этой записи блога TrendMicro. Если у вас есть вопросы, вы можете задать их здесь (используйте теги android-security и libupnp).

Уязвимость может быть использована не для всех приложений, работающих с библиотекой libupnp, однако мы рекомендуем своевременно устанавливать все обновления, связанные с безопасностью. Если приложение подвергает риску данные пользователей, оно может быть расценено как вредоносное. Такое приложение также нарушает условия Соглашения Google Play о распространении программных продуктов (раздел 4.4).

Приложения должны соответствовать условиям Соглашения о распространении программных продуктов и Правилам в отношении контента

Мы всегда рады помочь!

Если у вас есть вопросы, задайте их, используя тег android-security. Чтобы получить более подробные разъяснения, свяжитесь с командой поддержки для разработчиков.

Эта информация оказалась полезной?
Как можно улучшить эту статью?