Te informacije so namenjene razvijalcem aplikacij, ki vzpostavljajo statično povezavo z različico protokola OpenSSL, starejšo od 1.0.2f/1.0.1r. Te različice imajo varnostne ranljivosti. V aplikacijah začnite čim prej uporabljati protokol OpenSSL 1.0.2f/1.0.1r ali novejšo različico in povečajte številko različice nadgrajenega APK-ja.
Kaj se dogaja?
Google Play je začel 11. julija 2016 blokirati objavo vseh novih aplikacij ali posodobitev, ki uporabljajo starejše različice protokola OpenSSL. Preberite obvestilo v Konzoli Play. Morebitne aplikacije, ki imajo po rokih, navedenih v Konzoli Play, še vedno varnostne ranljivosti, bodo morda odstranjene iz Googla Play.
Potrebno ukrepanje
- Prijavite se v Konzolo Play in pojdite v razdelek Opozorila, kjer si lahko ogledate aplikacije, na katere se to nanaša, in roke, do katerih je treba odpraviti težave.
- V aplikaciji začnite uporabljati protokol OpenSSL 1.0.2f/1.0.1r ali novejšo različico in povečajte številko različice.
- Pošljite posodobljene različice aplikacij, ki jih to zadeva.
Dodatne informacije
Ranljivosti so bile odpravljene v različici protokola OpenSSL 1.0.2f/1.0.1r. Najnovejše različice protokola OpenSSL lahko prenesete tukaj. Če želite potrditi različico protokola OpenSSL, lahko z orodjem »grep« poiščete ($ unzip -p VašaAplikacija.apk | strings | grep "OpenSSL").
Če uporabljate knjižnico drugega ponudnika, v katero je vključen protokol OpenSSL, jo morate nadgraditi na različico, ki vključuje protokol OpenSSL različice 1.0.2f/1.0.1r ali novejše.
Med ranljivostmi sta »logjam« in CVE-2015-3194. Napad Logjam omogoča izvajalcu napada s posredovanjem prometa spreminjanje ranljivih povezav TLS v manj zmogljivo 512-bitno šifriranje, primerno za izvoz. S tem je napadalcu omogočeno branje in spreminjanje podatkov, poslanih prek povezave. Podrobnosti o drugih ranljivostih so na voljo tukaj. Če imate druga tehnična vprašanja, jih objavite v skupnosti Stack Overflow ter uporabite oznaki »android-security« in »OpenSSL«.
Čeprav te ranljivosti morda ne vplivajo na vse aplikacije, ki uporabljajo različice protokola OpenSSL, starejše od 1.0.2f/1.0.1r, priporočamo, da imate nameščene vse najnovejše varnostne popravke. Aplikacije z ranljivostmi, ki uporabnike izpostavijo nevarnosti napada, bomo morda obravnavali, kot da kršijo pravilnik o zlonamernem vedenju in razdelek 4.4 pogodbe o distribuciji za razvijalce.
Pred objavo aplikacij poskrbite, da bodo skladne s pogodbo o distribuciji za razvijalce in pravilnikom o vsebini.
Tu smo, da vam pomagamo
Če imate tehnična vprašanja glede ranljivosti, jih objavite v skupnosti Stack Overflow in uporabite oznako »android-security«. Če potrebujete pojasnilo postopka, ki ga morate uporabiti za odpravljanje te težave, se lahko obrnete na skupino za podporo razvijalcem.