Esta información está va dirigida a desarrolladores de aplicaciones que estén vinculadas de forma estática a una versión de OpenSSL anterior a la versión 1.0.2f/1.0.1r. Estas versiones contienen vulnerabilidades de seguridad. Migra tus aplicaciones a OpenSSL 1.0.2f/1.0.1r o una versión posterior lo antes posible e incrementa el número de versión de los APK actualizados.
¿Qué va a cambiar?
El 11 de julio del 2016, Google Play empezó a bloquear la publicación de aplicaciones y actualizaciones que usaban versiones anteriores de OpenSSL. Consulta el aviso en Play Console. Una vez que finalice el plazo indicado en Play Console, es posible que las aplicaciones que contengan vulnerabilidades de seguridad sin corregir se retiren de Google Play.
Acción necesaria
- Inicia sesión en Play Console y ve a la sección Alertas para consultar qué aplicaciones están afectadas y las fechas límite para resolver estos problemas.
- Migra tu aplicación a la versión 1.0.2f/1.0.1r de OpenSSL o versiones posteriores y aumenta el número de versión.
- Envía las versiones actualizadas de las aplicaciones afectadas.
Información adicional
Las vulnerabilidad se solucionaron en la versión 1.0.2f/1.0.1r de OpenSSL. Las últimas versiones de OpenSSL se pueden descargar en esta página. Para confirmar tu versión de OpenSSL, realiza una búsqueda con el comando grep ($ unzip -p YourApp.apk | strings | grep "OpenSSL").
Si utilizas una biblioteca externa que incluya OpenSSL, debes actualizarla con OpenSSL 1.0.2f/1.0.1r o versiones posteriores.
Entre las vulnerabilidad se incluyen "Logjam" y CVE-2015-3194. El ataque de Logjam permite a un atacante intermediario cambiar las conexiones TLS vulnerables a una criptografía de exportación de 512 bits. De esta forma, el atacante puede leer y modificar todos los datos que circulen por la conexión. Para encontrar más información sobre otras vulnerabilidades, consulta esta página. Si tienes alguna otra pregunta técnica, puedes publicarla en Stack Overflow y utilizar las etiquetas "android-security" y "OpenSSL".
Aunque es posible que estos problemas no afecten a todas las aplicaciones que utilicen versiones de OpenSSL anteriores a 1.02.f/1.0.1r, te recomendamos que mantengas todos los parches de seguridad actualizados. Es posible que se considere que las aplicaciones con vulnerabilidades que supongan un riesgo para la seguridad de los usuarios infringen la política de comportamiento malicioso y la sección 4.4 del Acuerdo de Distribución para Desarrolladores de Google Play.
Antes de publicar aplicaciones, comprueba que cumplan el Acuerdo de Distribución para Desarrolladores y la política de contenido.
Queremos ayudarte
Si tienes alguna pregunta técnica sobre esta vulnerabilidad, puedes publicarla en Stack Overflow con la etiqueta "android-security". Ponte en contacto con nuestro equipo de asistencia para desarrolladores si necesitas más información para resolver este problema.