Bu bilgi, OpenSSL'nin 1.0.2f/1.0.1r sürümünden önceki herhangi bir sürümüne statik bağlantı veren uygulama geliştiricileri için hazırlanmıştır. Bu sürümler güvenlik açığı içermektedir. Lütfen uygulamalarınızı en kısa zamanda OpenSSL 1.0.2f/1.0.1r veya daha yeni bir sürüme geçirin ve yeni sürüme geçirilmiş APK'nın sürüm numarasını artırın.
Neler oluyor?
Google Play 11 Temmuz 2016 tarihinden itibaren, OpenSSL'nin eski sürümlerini kullanan yeni uygulamaların veya güncellemelerin yayınlanmasını engellemeye başlamıştır. Lütfen Play Console hesabınızdaki bildirime bakın. Play Console hesabınızda gösterilen son tarihlerden sonra, düzeltilmemiş güvenlik açığı içeren tüm uygulamalar Google Play'den kaldırılacaktır.
Yapılması gerekenler
- Play Console hesabınızda oturum açıp Uyarılar bölümüne gidin. Burada hangi uygulamaların etkilendiğini ve bu sorunları çözmeniz gereken son tarihleri görebilirsiniz.
- Uygulamanızı OpenSSL 1.0.2f/1.0.1r veya daha yeni bir sürümüne taşıyın ve sürüm numarasını artırın.
- Etkilenen uygulamalarınızın güncellenmiş sürümlerini gönderin.
Ek ayrıntılar
Güvenlik açıkları OpenSSL 1.0.2f/1.0.1r sürümünde düzeltilmiştir. En yeni OpenSSL sürümleri buradan indirilebilir. OpenSSL sürümünüzü onaylamak üzere ($ unzip -p YourApp.apk | strings | grep "OpenSSL") için bir grep araması yapabilirsiniz.
OpenSSL içeren 3. taraf kitaplık kullanıyorsanız kitaplığı OpenSSL 1.0.2f/1.0.1r veya sonraki sürümüne sahip bir sürümüne geçirmelisiniz.
Güvenlik açıkları "logjam" ve CVE-2015-3194 içerir. Logjam saldırısı, bağlantıyı izinsiz izleme saldırısı yapanların güvenlik açığı olan TLS bağlantılarını 512 bit dışa aktarma düzeyi şifrelemesine indirgemesine olanak verir. Bu da saldırganın bağlantı üzerinden aktarılan verileri okumasına ve değiştirmesine izin verir. Diğer güvenlik açıklarıyla ilgili ayrıntıları burada bulabilirsiniz. Diğer teknik soruları, "android-security" ve "OpenSSL" etiketlerini kullanarak Stack Overflow sayfasında yayınlayabilirsiniz.
Bu sorunlar, 1.0.2f/1.0.1r öncesi OpenSSL sürümlerini kullanan her uygulamayı etkilemese de, tüm güvenlik yamalarıyla uygulamanın güncel kalmasını sağlamak en iyi yoldur. İçerdikleri güvenlik açıkları nedeniyle kullanıcıları güvenlik risklerine maruz bırakan uygulamalar, Kötü Amaçlı Davranış politikamızın ve Geliştirici Dağıtım Sözleşmesi'nin 4.4 numaralı bölümünün ihlali olarak değerlendirilebilir.
Uygulamaları yayınlamadan önce lütfen Geliştirici Dağıtım Sözleşmesi ve İçerik Politikası'na uygun olduklarından emin olun.
Yardıma hazırız
Güvenlik açığı hakkında teknik sorularınız varsa sorularınızı Stack Overflow'da yayınlayabilir ve “android-security” etiketini kullanabilirsiniz. Bu sorunu çözmek için uygulamanız gereken adımlarla ilgili bilgi almak isterseniz geliştirici destek ekibimize ulaşabilirsiniz.