כיצד לטפל בפרצות אבטחה של OpenSSL באפליקציות שלכם

מידע זה מיועד למפתחי אפליקציות שמשתמשים בכל גרסה של OpenSSL הקודמת ל-1.0.2f/‏1.0.1r.  גרסאות אלה מכילות פרצות אבטחה. יש להעביר את האפליקציות אל OpenSSL מגרסה 1.0.2f/‏1.0.1r ואילך בהקדם האפשרי ולהגדיל את מספר הגרסה של ה-APK המשודרג.

מה קורה?

החל מ-11 ביולי 2016‏, Google Play החל לחסום פרסומים של אפליקציות או עדכונים חדשים שמשתמשים בגרסאות ישנות יותר של OpenSSL. יש לעיין בהודעה שב-Play Console. לאחר המועדים האחרונים לתיקון שמוצגים ב-Play Console, אפליקציות שיכילו פרצות אבטחה לא מתוקנות יוסרו מ-Google Play.

הפעולה הנדרשת

1. נכנסים לחשבון Play Console, ועוברים לקטע ההתראות כדי לבדוק אילו אפליקציות מושפעות מהבעיות ומהם המועדים האחרונים לתיקון.
2. מעבירים את האפליקציה ל-OpenSSL מגרסה 1.0.2f/‏1.0.1r ואילך ומגדילים את מספר הגרסה.
3. שולחים את הגרסאות המעודכנות של האפליקציות המושפעות.

פרטים נוספים

פרצות האבטחה טופלו בגרסאות 1.0.2f/‏1.0.1r של OpenSSL. כאן אפשר להוריד את הגרסאות העדכניות של OpenSSL. כדי לאשר את גרסת ה-OpenSSL שלכם, ניתן לערוך חיפוש מסוג GREP של (‎$ unzip -p YourApp.apk | strings | grep "OpenSSL"‎).

אם אתם משתמשים בספרייה של צד שלישי שכוללת את OpenSSL, יהיה צורך לשדרג אותה לגרסה הכוללת את OpenSSL מגרסה 1.0.2f/‏1.0.1r ואילך.

נקודות התורפה כוללות "logjam" וגם CVE-2015-3194. מתקפת LogJam מאפשרת לתוקף מסוג "אדם באמצע" להחליש חיבורי TLS פגיעים להצפנת export-grade של 512 סיביות. דבר זה מאפשר לתוקף לקרוא ולשנות את כל הנתונים שעוברים בחיבור. פרטים על נקודות תורפה אחרות זמינים כאן. לשאלות טכניות אחרות, ניתן לפרסם פוסט באתר Stack Overflow ולהשתמש בתגים "android-security" ו-"OpenSSL".

אף על פי שייתכן שבעיות אלה לא משפיעות על כל אפליקציה שמשתמשת ב-OpenSSL בגרסאות הקודמות ל-1.0.2f/‏1.0.1r, מומלץ להתקין את כל תיקוני האבטחה העדכניים. אפליקציות עם פרצות אבטחה החושפות משתמשים לסיכון לפריצה עלולות להיחשב כהפרות של המדיניות לגבי התנהגות זדונית, ושל סעיף 4.4 בהסכם ההפצה למפתחים.

לפני פרסום האפליקציות, ודא שהן תואמות להסכם ההפצה למפיצים ולמדיניות התוכן. 

אנחנו כאן כדי לעזור

אם יש לכם שאלות טכניות בנוגע לפגיעוּת זו, ניתן לפרסם פוסט באתר Stack Overflow ולהשתמש בתג “android-security”. משהו לא ברור בשלבים לפתרון הבעיה? ניתן לפנות אל צוות התמיכה שלנו למפתחים.