यह जानकारी ऐप्लिकेशन बनाने वाले ऐसे डेवलपर के लिए है जो लिंक करने के लिए OpenSSL के 1.0.2f/1.0.1r से पहले का वर्शन इस्तेमाल करते हैं. इन वर्शन में सुरक्षा जोखिम में हो सकती है. OpenSSL 1.0.2f/1.0.1r वर्शन या इससे ऊपर के वर्शन का इस्तेमाल करने के लिए, कृपया अपने ऐप्लिकेशन को जल्द से जल्द माइग्रेट करें. साथ ही, अपग्रेड किए गए APK का वर्शन नंबर बढ़ाएं.
क्या हो रहा है
11 जुलाई, 2016 की शुरुआत से, Google Play ने ऐसे सभी नए ऐप्लिकेशन या अपडेट को प्रकाशित होने से रोक दिया है जो OpenSSL के पुराने वर्शन का इस्तेमाल करते हैं. कृपया अपने Play कंसोल पर आई सूचना देखें. आपके Play कंसोल में दिखाई दे रही आखिरी तारीख के बाद, Google Play से ऐसे ऐप्लिकेशन हटाए जा सकते हैं जिन्हें इस्तेमाल करने से सुरक्षा को खतरा हो सकता है.
कार्रवाई करना ज़रूरी है
- अपने Play कंसोल में साइन इन करें और 'अलर्ट' सेक्शन पर जाकर देखें कि किन ऐप्लिकेशन पर असर हुआ है और इन समस्याओं को ठीक करने की आखिरी तारीखें क्या हैं.
- अपने ऐप्लिकेशन को OpenSSL 1.02f/1.01r या इसके बाद वाले वर्शन पर माइग्रेट करें और वर्शन संख्या बढ़ाएं.
- आपके जिन ऐप्लिकेशन पर असर हुआ है उनके अपडेट किए गए वर्शन सबमिट करें.
कुछ और जानकारी
OpenSSL 1.02f/1.01r में इन जोखिमों का पता चला था. OpenSSL के नए वर्शन यहां डाउनलोड किए जा सकते हैं. अपने OpenSSL वर्शन की पुष्टि करने के लिए, आप ग्रेप (grep) फ़िल्टर लगाकर ($ unzip -p YourApp.apk | strings | grep "OpenSSL") खोज सकते हैं.
अगर आप तीसरे पक्ष की लाइब्रेरी इस्तेमाल कर रहे हैं जो OpenSSL को बंडल करती है, तो आपको उसे किसी ऐसे वर्शन में अपग्रेड करना होगा जो OpenSSL 1.0.2f/1.0.1r या इसके बाद वाले वर्शन को बंडल करती हो.
इन जोखिमो में "logjam" और CVE-2015-3194 शामिल हैं. Logjam के हमले से मैन-इन-द-मिडल हमलावर 512-बिट एक्सपोर्ट-ग्रेड क्रिप्टोग्राफ़ी में TLS कनेक्शन को डाउनग्रेड कर सकता है. इससे हमलावर को कनेक्शन से गुज़रने वाला डेटा पढ़ने और उसमें बदलाव करने की अनुमति मिल जाती है. दूसरे जोखिमों की जानकारी यहां मिल जाएगी. दूसरे तकनीकी सवालों के लिए, आप Stack Overflow पर अपना सवाल पोस्ट कर सकते हैं. साथ ही, सवाल पोस्ट करते समय, “android-security” और “OpenSSL” टैग का इस्तेमाल करें.
हालांकि, इस तरह की समस्याओं का असर शायद ऐसे हर ऐप्लिकेशन पर न पड़े जो OpenSSL के 1.0.2f/1.0.1r से पुराने वर्शन का इस्तेमाल करते हैं, लेकिन हर तरह के सुरक्षा पैच को अपडेट करना अच्छा रहता है. जोखिम वाले ऐप्लिकेशन जो उपयोगकर्ताओं की सुरक्षा को खतरे में डालते हैं, उन्हें डेवलपर वितरण अनुबंध की धारा 4.4 और नुकसान पहुंचाने वाले व्यवहार की नीति का उल्लंघन करने वाले ऐप्लिकेशन माना जा सकता है.
ऐप्लिकेशन प्रकाशित करने से पहले, कृपया यह पक्का करें कि वे डेवलपर वितरण अनुबंध और सामग्री की नीतियों का पालन करते हैं.
हम मदद के लिए मौजूद हैं
अगर आप जोखिम के बारे में तकनीकी सवाल पूछना चाहते हैं, तो आप Stack Overflow पर पोस्ट कर सकते हैं और “android-security” टैग इस्तेमाल कर सकते हैं. इस समस्या को ठीक करने के लिए आपको जो कदम उठाने हैं उससे जुड़ी जानकारी के लिए, आप हमारी डेवलपर सहायता टीम से संपर्क कर सकते हैं.