Estas informações destinam-se aos programadores de aplicações que estão a estabelecer ligação de forma estática a uma versão do OpenSSL anterior à 1.0.2f/1.0.1r. Estas versões contêm vulnerabilidades de segurança. Migre as suas aplicações para a versão 1.0.2f/1.0.1r ou superior do OpenSSL assim que possível e aumente o número de versão do APK atualizado.
O que está a acontecer
A partir de 11 de julho de 2016, o Google Play começou a bloquear a publicação de quaisquer novas aplicações ou atualizações que utilizem versões mais antigas do OpenSSL. Consulte o aviso na Play Console. Após os prazos apresentados na Play Console, as aplicações que contenham vulnerabilidades de segurança não corrigidas poderão ser removidas do Google Play.
Ação necessária
- Inicie sessão na Play Console e navegue até à secção Alertas para ver quais as aplicações afetadas e os prazos para resolver estes problemas.
- Migre a sua aplicação para o OpenSSL 1.0.2f/1.0.1r ou superior e aumente o número da versão.
- Envie as versões atualizadas das aplicações afetadas.
Detalhes adicionais
As vulnerabilidades foram resolvidas no OpenSSL 1.0.2f/1.0.1r. Pode transferir as versões mais recentes do OpenSSL aqui. Para confirmar a sua versão do OpenSSL, pode efetuar uma pesquisa grep por ($ unzip -p YourApp.apk | strings | grep "OpenSSL").
Se estiver a utilizar uma biblioteca de terceiros que agregue o OpenSSL, tem de a atualizar para uma versão que agregue a versão 1.0.2f/1.0.1r ou superior do OpenSSL.
As vulnerabilidades incluem "logjam" e CVE-2015-3194. O ataque Logjam permite que um utilizador mal-intencionado lance um ataque de intrusos para alterar ligações TLS vulneráveis para uma versão anterior para uma criptografia de nível de exportação de 512 bits. Isto permite que o utilizador mal-intencionado leia e modifique quaisquer dados transmitidos através da ligação. Estão disponíveis detalhes acerca de outras vulnerabilidades aqui. Para outras questões técnicas, pode publicar uma mensagem no Stack Overflow e utilizar as etiquetas "android-security" e "OpenSSL".
Apesar de estes problemas poderem não afetar todas as aplicações que utilizem versões do OpenSSL anteriores à 1.0.2f/1.0.1r, é melhor manter-se atualizado no que respeita a todos os patches de segurança. As aplicações com vulnerabilidades que expõem os utilizadores ao risco de comprometimento podem ser consideradas infratoras da nossa Política de Comportamento Malicioso e da secção 4.4 do Contrato de Distribuição para Programadores.
Antes de publicar aplicações, certifique-se de que estas estão em conformidade com o Contrato de Distribuição para Programadores e a Política de Conteúdos.
Estamos aqui para ajudar
Se tiver perguntas técnicas acerca da vulnerabilidade, pode publicar uma mensagem no Stack Overflow e utilizar a etiqueta "android-security". Para obter um esclarecimento sobre os passos que tem de efetuar para resolver este problema, pode contactar a nossa equipa de apoio técnico a programadores.