Jak w aplikacjach rozwiązać problemy z lukami w zabezpieczeniach OpenSSL

Zawarte tu informacje są przeznaczone dla deweloperów, których aplikacje są statycznie połączone z OpenSSL w wersji starszej niż 1.0.2f lub 1.0.1r.  Takie wersje zawierają luki w zabezpieczeniach. Jak najszybciej przeprowadź migrację aplikacji do OpenSSL w wersji 1.0.2f, 1.0.1r lub nowszej i zwiększ numer wersji uaktualnionego pliku APK.

O co chodzi?

Od 11 lipca 2016 r. Google Play blokuje publikowanie nowych aplikacji i aktualizacji korzystających ze starszych wersji OpenSSL. Zapoznaj się z powiadomieniem w Konsoli Play. Po przekroczeniu terminów wskazanych w Konsoli Play wszystkie aplikacje z lukami w zabezpieczeniach mogą zostać usunięte z Google Play.

Wymagane działania​

  1. Zaloguj się w Konsoli Play i przejdź do sekcji Alerty, by sprawdzić, których aplikacji dotyczy problem i jaki jest termin jego rozwiązania.
  2. Uaktualnij OpenSSL w aplikacji do wersji 1.0.2f, 1.0.1r lub nowszej i zwiększ numer wersji aplikacji.
  3. Prześlij zaktualizowane wersje aplikacji, których dotyczy problem.

Dodatkowe szczegóły

Luki w zabezpieczeniach OpenSSL zostały usunięte w wersjach 1.0.2f i 1.0.1r. Najnowsze wersje OpenSSL możesz pobrać tutaj. Aby sprawdzić swoją wersję OpenSSL, przeprowadź wyszukiwanie grep: ($ unzip -p YourApp.apk | strings | grep "OpenSSL").

Jeśli używasz biblioteki zewnętrznej, która zawiera OpenSSL w pakiecie, musisz uaktualnić ją do wersji obejmującej OpenSSL w wersji 1.0.2f, 1.0.1r lub nowszej.

Luki w zabezpieczeniach to między innymi „logjam” i CVE-2015-3194. Atak logjam pozwala atakującemu typu „man-in-the-middle” obniżyć standard podatnych połączeń TLS do 512-bitowej kryptografii klasy eksportowej. Dzięki temu może on odczytywać i modyfikować dowolne dane przekazywane połączeniem. Szczegółowe informacje o pozostałych lukach znajdziesz tutaj. Jeśli masz pytania techniczne, możesz opublikować je na stronie Stack Overflow, używając tagów „android-security” i „OpenSSL”.

Te problemy nie muszą pojawić się w każdej aplikacji używającej OpenSSL w wersji starszej niż 1.0.2f lub 1.0.1r, ale najlepiej jest na bieżąco wprowadzać wszelkie poprawki zabezpieczeń. Aplikacje z lukami narażającymi użytkowników na niebezpieczeństwo możemy uznać za niezgodne z zasadami dotyczącymi złośliwego zachowania i sekcją 4.4 Umowy dystrybucyjnej dla deweloperów.

Przed opublikowaniem swoich aplikacji upewnij się, że są one zgodne z Umową dystrybucyjną dla deweloperówPolityką treści

Chętnie Ci pomożemy

Jeśli masz pytania techniczne związane z tą luką w zabezpieczeniach, możesz je opublikować na Stack Overflow, używając tagu „android-security”. Jeśli potrzebujesz wyjaśnienia czynności potrzebnych do rozwiązania tego problemu, skontaktuj się z naszym zespołem pomocy dla deweloperów.

Czy to było pomocne?

Jak możemy ją poprawić?
false
Menu główne
13165957413717109410
true
Wyszukaj w Centrum pomocy
true
true
true
true
true
5016068
false
false