この情報は、アプリが OpenSSL の 1.0.2f/1.0.1r より前のバージョンに対して静的にリンクしているデベロッパーを対象としています。これらのバージョンにはセキュリティの脆弱性が含まれています。早急にアプリを OpenSSL 1.0.2f/1.0.1r 以降に移行し、アップグレードした APK のバージョン番号を更新してください。
状況
2016 年 7 月 11 日以降、Google Play では OpenSSL 1.0.2f/1.0.1r より古いバージョンを使用する新規アプリやアップデートの公開を禁止しています。詳しくは Play Console の通知をご覧ください。Play Console に表示されている期限を過ぎた後もセキュリティの脆弱性が修正されていないアプリは、Google Play から削除される場合があります。
必要な対応
- Play Console にログインし、[アラート] セクションで該当するアプリや問題の解決期限を確認します。
- アプリを OpenSSL 1.0.2f/1.0.1r 以降のバージョンに移行し、バージョン番号を更新します。
- 該当するアプリの更新バージョンを送信します。
その他の詳細
脆弱性は OpenSSL 1.0.2f/1.0.1r で解決されています。最新バージョンの OpenSSL はこちらからダウンロードできます。お使いの OpenSSL のバージョンを確認するには、($ unzip -p YourApp.apk | strings | grep "OpenSSL")と指定して grep 検索します。
OpenSSL をバンドルするサードパーティのライブラリを使用している場合は、OpenSSL 1.0.2f/1.0.1r 以降をバンドルするバージョンにアップグレードする必要があります。
脆弱性には「Logjam」と CVE-2015-3194 が含まれます。Logjam 攻撃では、中間者攻撃により脆弱な TLS 接続を輸出グレードの 512 ビット暗号にダウングレードできてしまいます。その結果、攻撃者は通信上でやり取りされるあらゆるデータの読み取りや変更ができるようになります。その他の脆弱性について詳しくは、こちらをご覧ください。この他の技術的な不明点については、Stack Overflow にタグ「android-security」および「OpenSSL」を使用してご投稿ください。
この問題は、1.0.2f/1.0.1r より前のバージョンの OpenSSL を使用するすべてのアプリに影響するとは限りませんが、常に最新のセキュリティ パッチを適用することをおすすめします。セキュリティ侵害の危険がある脆弱性を含むアプリは、悪意のある行為に関するポリシーと、デベロッパー販売 / 配布契約の第 4.4 項に違反すると判断される場合があります。
アプリを公開する前に、そのアプリがデベロッパー販売 / 配布契約とコンテンツ ポリシーに準拠していることをご確認ください。
サポートのご案内
脆弱性に関する技術的なご質問については、Stack Overflow にご投稿ください。その際、「android-security」タグをご利用ください。この問題を解決するための手順で不明な点がありましたら、デベロッパー サポートチームにお問い合わせください。