Aceste informații sunt destinate dezvoltatorilor de aplicații care trimit static la o versiune OpenSSL anterioară 1.0.2f/1.0.1r. Aceste versiuni conțin vulnerabilități de securitate. Migrați aplicațiile la OpenSSL 1.0.2f/1.0.1r sau la o versiune ulterioară cât mai curând și incrementați numărul versiunii fișierului APK căruia i s-a făcut upgrade.
Ce se întâmplă
Începând din 11 iulie 2016, Google Play a început să blocheze publicarea aplicațiilor noi și a actualizărilor care folosesc versiuni mai vechi de OpenSSL. Consultați notificarea din Play Console. După termenele limită afișate în Play Console, toate aplicațiile care conțin vulnerabilități de securitate neremediate pot fi eliminate din Google Play.
Acțiune necesară
- Conectați-vă la Play Console și navigați la secțiunea Alerte ca să vedeți ce aplicații sunt afectate și care sunt termenele limită pentru remedierea problemelor.
- Migrați aplicația la OpenSSL 1.0.2f/1.0.1r sau la o versiune ulterioară și incrementați numărul versiunii.
- Trimiteți versiunile actualizate ale aplicațiilor afectate.
Detalii suplimentare
Vulnerabilitățile au fost remediate în OpenSSL 1.0.2f/1.0.1r. Cea mai recentă versiune OpenSSL poate fi descărcată de aici. Pentru a verifica ce versiune OpenSSL folosiți, puteți să căutați cu grep ($ unzip -p YourApp.apk | strings | grep "OpenSSL").
Dacă folosiți o bibliotecă terță parte care include OpenSSL, va trebui să faceți upgrade la o versiune care include OpenSSL 1.0.2f/1.0.1r sau o versiune ulterioară.
Vulnerabilitățile includ „logjam” și CVE-2015-3194. Atacul Logjam permite unui atacator prin interceptare să facă downgrade conexiunilor TLS vulnerabile la o criptare la nivel de export pe 512 byți. Astfel, atacatorul poate citi și modifica orice date transmise prin conexiune. Detalii despre alte vulnerabilități sunt disponibile aici. Pentru alte întrebări tehnice, puteți să postați pe Stack Overflow și să folosiți etichetele „android-security” și „OpenSSL”.
Deși este posibil ca aceste probleme să nu afecteze fiecare aplicație care folosește versiuni OpenSSL anterioare 1.0.2f/1.0.1r, este de preferat să actualizați cu toate corecțiile de securitate. Este posibil ca aplicațiile cu vulnerabilități care expun utilizatorii riscului de compromitere a securității să fie considerate neconforme cu politica privind Comportamentul rău-intenționat și cu secțiunea 4.4 din Acordul de distribuire pentru dezvoltatori.
Înainte să publicați aplicațiile, asigurați-vă că respectă Acordul de distribuire pentru dezvoltatori și Politica de conținut.
Vă stăm la dispoziție pentru ajutor
Dacă aveți întrebări tehnice cu privire la vulnerabilitate, puteți posta pe Stack Overflow, cu eticheta „android-security”. Pentru clarificarea pașilor necesari pentru remedierea acestei probleme, contactați echipa de asistență pentru dezvoltatori.