Diese Informationen richten sich an Entwickler von Apps, die mit einer Version von OpenSSL statisch verknüpft sind, die niedriger als 1.0.2f oder 1.0.1r ist. Diese Versionen enthalten Sicherheitslücken. Aktualisieren Sie Ihre Apps deshalb so bald wie möglich auf OpenSSL 1.0.2f bzw. 1.0.1r oder neuer und erhöhen Sie die Versionsnummer des aktualisierten APK.
Aktuelle Informationen
Google Play blockiert seit dem 11. Juli 2016 die Veröffentlichung sämtlicher neuer Apps und Updates, die ältere OpenSSL-Versionen verwenden. Weitere Informationen dazu finden Sie in der entsprechenden Benachrichtigung in der Play Console. Nachdem die in der Play Console angezeigten Fristen abgelaufen sind, werden alle Apps, die nicht behobene Sicherheitslücken enthalten, aus Google Play entfernt.
Erforderliche Maßnahmen
- Melden Sie sich in der Play Console an und gehen Sie zum Bereich "Warnmeldungen". Dort sehen Sie, welche Apps betroffen sind und bis wann Sie die entsprechenden Probleme beheben müssen.
- Migrieren Sie Ihre App auf OpenSSL 1.0.2f bzw. 1.0.1r oder neuer und erhöhen Sie die Versionsnummer.
- Reichen Sie aktualisierte Versionen Ihrer betroffenen Apps ein.
Weitere Details
Die Sicherheitslücken wurden in OpenSSL 1.0.2f und 1.0.1r behoben. Die neuesten OpenSSL-Versionen können hier heruntergeladen werden. Welche OpenSSL-Version Sie verwenden, können Sie mit der grep-Abfrage ($ unzip -p YourApp.apk | strings | grep "OpenSSL") ermitteln.
Wenn Sie eine Bibliothek eines Drittanbieters verwenden, die OpenSSL bündelt, müssen Sie ein Upgrade auf eine Version mit OpenSSL 1.0.2f bzw. 1.0.1r oder höher ausführen.
Zu den Sicherheitslücken gehören logjam und CVE-2015-3194. Bei einem Logjam-Angriff kann ein Man-in-the-Middle-Angreifer ein Downgrade von angreifbaren TLS-Verbindungen auf eine Export-Kryptografie von 512-Bit ausführen. Dadurch kann der Angreifer über die Verbindung übertragene Daten lesen und ändern. Details zu weiteren Sicherheitslücken können Sie hier nachlesen. Sonstige technische Fragen können Sie auf Stack Overflow posten. Verwenden Sie dabei die Tags "android-security" und "OpenSSL".
Obwohl sich diese Probleme nicht auf alle Apps auswirken, die niedrigere Versionen als OpenSSL 1.0.2f bzw. 1.0.1r verwenden, sollten sämtliche Sicherheitspatches installiert werden. Apps mit Sicherheitslücken, durch die Nutzer zu Schaden kommen können, werden unter Umständen als Verstoß gegen unsere Richtlinien zu böswilligem Verhalten und Abschnitt 4.4 der Vereinbarung für den Entwicklervertrieb eingestuft.
Achten Sie beim Veröffentlichen von Apps darauf, dass diese der Vereinbarung für den Entwicklervertrieb und den Inhaltsrichtlinien entsprechen.
Hilfe und Support
Technische Fragen zu dieser Sicherheitslücke können Sie bei Stack Overflow posten. Bitte verwenden Sie dabei das Tag "android-security". Weitere Informationen zu den Maßnahmen, die zur Lösung dieses Problems erforderlich sind, erhalten Sie von unserem Entwicklersupportteam.