Zawarte tu informacje są przeznaczone dla deweloperów, których aplikacje są statycznie połączone z OpenSSL w wersji starszej niż 1.0.2f lub 1.0.1r. Takie wersje zawierają luki w zabezpieczeniach. Jak najszybciej przeprowadź migrację aplikacji do OpenSSL w wersji 1.0.2f, 1.0.1r lub nowszej i zwiększ numer wersji uaktualnionego pliku APK.
O co chodzi?
Od 11 lipca 2016 r. Google Play blokuje publikowanie nowych aplikacji i aktualizacji korzystających ze starszych wersji OpenSSL. Zapoznaj się z powiadomieniem w Konsoli Play. Po przekroczeniu terminów wskazanych w Konsoli Play wszystkie aplikacje z lukami w zabezpieczeniach mogą zostać usunięte z Google Play.
Wymagane działania
- Zaloguj się w Konsoli Play i przejdź do sekcji Alerty, by sprawdzić, których aplikacji dotyczy problem i jaki jest termin jego rozwiązania.
- Uaktualnij OpenSSL w aplikacji do wersji 1.0.2f, 1.0.1r lub nowszej i zwiększ numer wersji aplikacji.
- Prześlij zaktualizowane wersje aplikacji, których dotyczy problem.
Dodatkowe szczegóły
Luki w zabezpieczeniach OpenSSL zostały usunięte w wersjach 1.0.2f i 1.0.1r. Najnowsze wersje OpenSSL możesz pobrać tutaj. Aby sprawdzić swoją wersję OpenSSL, przeprowadź wyszukiwanie grep: ($ unzip -p YourApp.apk | strings | grep "OpenSSL").
Jeśli używasz biblioteki zewnętrznej, która zawiera OpenSSL w pakiecie, musisz uaktualnić ją do wersji obejmującej OpenSSL w wersji 1.0.2f, 1.0.1r lub nowszej.
Luki w zabezpieczeniach to między innymi „logjam” i CVE-2015-3194. Atak logjam pozwala atakującemu typu „man-in-the-middle” obniżyć standard podatnych połączeń TLS do 512-bitowej kryptografii klasy eksportowej. Dzięki temu może on odczytywać i modyfikować dowolne dane przekazywane połączeniem. Szczegółowe informacje o pozostałych lukach znajdziesz tutaj. Jeśli masz pytania techniczne, możesz opublikować je na stronie Stack Overflow, używając tagów „android-security” i „OpenSSL”.
Te problemy nie muszą pojawić się w każdej aplikacji używającej OpenSSL w wersji starszej niż 1.0.2f lub 1.0.1r, ale najlepiej jest na bieżąco wprowadzać wszelkie poprawki zabezpieczeń. Aplikacje z lukami narażającymi użytkowników na niebezpieczeństwo możemy uznać za niezgodne z zasadami dotyczącymi złośliwego zachowania i sekcją 4.4 Umowy dystrybucyjnej dla deweloperów.
Przed opublikowaniem swoich aplikacji upewnij się, że są one zgodne z Umową dystrybucyjną dla deweloperów i Polityką treści.
Chętnie Ci pomożemy
Jeśli masz pytania techniczne związane z tą luką w zabezpieczeniach, możesz je opublikować na Stack Overflow, używając tagu „android-security”. Jeśli potrzebujesz wyjaśnienia czynności potrzebnych do rozwiązania tego problemu, skontaktuj się z naszym zespołem pomocy dla deweloperów.