Šī informācija ir paredzēta tādu lietotņu izstrādātājiem, kuras ir statiski saistītas ar OpenSSL versiju, kas ir vecāka par versiju 1.0.2f/1.0.1r. Šīs versijas ietver drošības ievainojamību. Lūdzu, pēc iespējas drīzāk migrējiet savu(-as) lietotni(-es) uz OpenSSL versiju 1.0.2f/1.0.1r vai jaunāku versiju un palieliniet jauninātā APK versijas numuru.
Problēma
Sākot no 2016. gada 11. jūlija, pakalpojumā Google Play tiek liegta jebkuru jaunu lietotņu vai atjauninājumu publicēšana, kuros tiek izmantotas vecākas OpenSSL versijas. Lūdzu, skatiet paziņojumu savā Play Console kontā. Pēc jūsu Play Console kontā norādītajiem termiņiem no pakalpojuma Google Play var tikt noņemtas visas lietotnes, kurās nebūs novērsta drošības ievainojamība.
Nepieciešamā rīcība
- Pierakstieties savā Play Console kontā un sadaļā “Brīdinājumi” skatiet ietekmētās lietotnes un termiņus šo problēmu novēršanai.
- Migrējiet savu lietotni uz OpenSSL versiju 1.0.2f/1.0.1r vai jaunāku versiju un palieliniet versijas numuru.
- Iesniedziet savu ietekmēto lietotņu atjauninātās versijas.
Papildinformācija
Šīs ievainojamības tika novērstas OpenSSL versijā 1.0.2f/1.0.1r. Jaunākās OpenSSL versijas var lejupielādēt šeit. Lai noskaidrotu savu OpenSSL versiju, varat veikt “grep” meklēšanu, izmantojot ($ unzip -p YourApp.apk | strings | grep "OpenSSL").
Ja izmantojat trešās puses bibliotēku, kas ietver OpenSSL, jums tā būs jājaunina uz versiju, kas ietver OpenSSL versiju 1.0.2f/1.0.1r vai jaunāku versiju.
Ievainojamības ietver “logjam” un CVE-2015-3194. “Logjam” nepilnības dēļ uzbrucēji var veiksmīgi īstenot vidutāja uzbrukumus, pazeminot neaizsargātus TLS savienojumus uz 512 bitu eksportēšanas līmeņa kriptogrāfiju. Tādējādi uzbrucējs var lasīt un mainīt jebkurus datus, kas tiek pārsūtīti, izmantojot savienojumu. Detalizēta informācija par citām ievainojamībām ir pieejama šeit. Ja jums ir citi tehniski jautājumi, varat tos publicēt vietnē Stack Overflow, izmantojot atzīmes “android-security” un “OpenSSL”.
Lai gan šīs problēmas var neietekmēt visas lietotnes, kurās tiek izmantotas OpenSSL versijas, kas ir vecākas par versiju 1.0.2f/1.0.1r, ieteicams lietot visus jaunākos drošības ielāpus. Var tikt uzskatīts, ka ar tādām lietotnēm, kuru ievainojamība pakļauj lietotājus riskam, tiek pārkāpta mūsu politika par ļaunprātīgu rīcību un izstrādātāja izplatīšanas līguma 4.4. sadaļa.
Lai varētu publicēt lietotnes, tām ir jāatbilst izstrādātāja izplatīšanas līgumam un satura politikai.
Mēs jums palīdzēsim
Ja jums ir tehniski jautājumi par ievainojamību, varat tos publicēt vietnē Stack Overflow, izmantojot atzīmi “android-security”. Lai uzzinātu, kā novērst šo problēmu, varat sazināties ar mūsu izstrādātāju atbalsta komandu.