Ez az információ az olyan alkalmazások fejlesztőinek szól, amelyek az 1.02f/1.01r verziónál korábbi OpenSSL-t csatolnak statikusan. Ezek a verziók biztonsági réseket tartalmaznak. A lehető leghamarabb telepítsd át alkalmazásaidat az OpenSSL 1.0.2f/1.0.1 vagy újabb verziójára, és növeld a frissített APK-k verziószámát.
Mi történik?
2016. július 11-től kezdődően a Google Play tiltja minden olyan új alkalmazás vagy frissítés közzétételét, amely az OpenSSL régebbi verzióit használja. A Play Console felületén lévő értesítésben további információt találhatsz. A Play Console felületén látható határidők után eltávolítjuk a Google Playről azokat az alkalmazásokat, amelyekben még megtalálható a sebezhetőség.
Teendők
- Jelentkezz be a Play Console felületén, majd tekintsd át az Értesítések oldalon az érintett alkalmazásokat és a problémák megoldásának határidőit.
- Telepítsd át alkalmazásodat az OpenSSL 1.0.2f/1.0.1r vagy újabb verziójára, és növeld az alkalmazás verziószámát.
- Küldd be az érintett alkalmazások frissített verzióit.
Részletek
A biztonsági réseket az OpenSSL 1.0.2f/1.0.1r verziójában kijavították. Az OpenSSL legújabb verzióit innen töltheted le. Az OpenSSL-verzió ellenőrzésére használhatsz például grep-keresést: ($ unzip -p YourApp.apk | strings | grep "OpenSSL").
Ha az OpenSSL-t harmadik fél függvénytárán keresztül használod, akkor frissítsd a függvénytárat olyan verzióra, amelyhez már legalább az OpenSSL 1.0.2f/1.0.1r tartozik.
A biztonsági rések a következők: „logjam” és CVE-2015-3194. A Logjam támadás során a köztes támadó 512 bites erősségű titkosítássá gyengítheti a sebezhető TLS-kapcsolatokat. Ennek köszönhetően lehetősége nyílik a kapcsolat során átadott adatok olvasására és módosítására. A többi biztonsági résről itt találsz további részleteket. Egyéb technikai jellegű kérdéseidet a Stack Overflow webhelyen, az „android-security” és „OpenSSL” címkék használatával teheted fel.
Bár ezek a problémák nem feltétlenül vonatkoznak minden olyan alkalmazásra, amely az OpenSSL 1.0.2f/1.0.1r előtti verzióinak valamelyikét használja, érdemes naprakésznek lenni a biztonsági javítások tekintetében. A biztonsági réseket tartalmazó, és ezzel a felhasználókat támadások kockázatának kitevő alkalmazásokat olyan termékeknek tekinthetjük, amelyek sértik a rosszindulatú viselkedéssel kapcsolatos irányelveinket, illetve a Fejlesztői terjesztési megállapodás 4.4. szakaszát.
Alkalmazásaid közzététele előtt bizonyosodj meg arról, hogy megfelelnek a Fejlesztői terjesztési megállapodásnak és a tartalmi irányelveknek.
Örömmel segítünk
A sebezhetőségre vonatkozó technikai kérdéseidet felteheted a Stack Overflow webhelyén, az „android-security” címkével ellátva. Ha a probléma megoldásának lépéseire vonatkozóan szeretnél tisztázni valamit, vedd fel a kapcsolatot fejlesztőtámogatási csapatunkkal.