Google Play Console(Уязвимые версии WebRTC)

R2D2

Member
В нашем Android приложении мы используем библиотеку wcs-android-sdk-1.0.1.86-release.aar. Не переходим на версию 1.1 чтобы сохранить совместимость со старыми версиями Android.
На этой неделе при выкладки приложения Google Play Console выдало ошибку - Уязвимые версии WebRTC
Как исправить данную ошибку?
 

Max

Administrator
Staff member
Добрый день.
Более свежие версии WebRTC требуют версии API не ниже 26, что исключает работу в Android 7 и ниже, поэтому наш Android SDK 1.1, куда включена более свежая версия WebRTC, не работает на старых устройствах.
Поскольку для закрытия уязвимости Google рекомендут использовать более новую версию WebRTC, то единственный путь - это перейти на Android SDK 1.1 и перестать поддерживать старые версии.
Вы также можете воспользоваться пунктом
Fixing this issue is highly recommended, but not mandatory. The publication status of your app will be unaffected by the presence of this issue.
и продолжить публиковать приложение на Android SDK 1.0, пока Google не придумает другое ограничение, чтобы наконец выдавить с рынка старые версии Android.
 

R2D2

Member
К сожалению, у нас ориентировочно 1,6% клиентов используют Android 6.
А андройд 7 - более 3 процентов. Может быть вы придумаете как закрыть уязвимость и обновите библиотеку, а не предложите вашему клиенту потерять около 5% клиентов и выручки....
 
Last edited:

Max

Administrator
Staff member
В версии WebRTC, которая входит в состав Android SDK 1.0, используется библиотека usrsctp. Эта библиотека содержит всего одну уязвимость CVE-2019-20503, которая до сих пор не закрыта (с 2020 года). Поэтому в теории мы могли бы попытаться обновить эту библиотеку в исходных текстах WebRTC в Android SDK 1.0, но, к сожалению, это ничего не даст. А написать собственную реализацию SCTP с нуля выглядит слишком затратным решением, к тому же, Google и в ней, скорее всего, найдет уязвимость, поскольку цель в данном случае не в том, чтобы защитить клиентов, а в том, чтобы снять с поддержки старые версии Android.
Если Вы не хотите терять клиентов до естественного выхода из строя устаревших устройств, то Вы можете продолжать публиковать приложение в Google Play, поскольку исправления уязвимости Google пока не требует. После того, как Google ужесточит ограничения (вопрос только в том, когда именно это случится), Вы сможете распространять приложение через альтернативные магазины или в виде APK, как сейчас делают разработчики, которых не пускают в Google Play по различным причинам.
 
Top